文章总结： FBI警告Kimsuky组织利用二维码钓鱼攻击政府和智库，通过恶意二维码绕过检查窃取凭据。攻击者收集设备信息后重定向至伪造登录页面以绕过MFA。FBI建议加强员工识别社会工程学攻击的培训，验证来源，保护移动设备安全，并实施抗钓鱼MFA及分层防御措施降低风险。 综合评分： 88 文章分类： 威胁情报,社会工程学,应急响应,红队,漏洞分析

FBI警告称，曹县APT组织Kimsuky正利用钓鱼攻击针对各国政府、智库和学术机构

会杀毒的单反狗

军哥网络安全读报

2026年1月12日 09:00 湖北

导读

美国联邦调查局（FBI）警告称，曹县APT组织Kimsuky正利用包含恶意二维码的鱼叉式钓鱼邮件（即二维码钓鱼）针对政府机构、学术机构和智库发起攻击。

美国联邦调查局（FBI）发布的警报中写道：“截至2025年，Kimsuky的攻击者在鱼叉式钓鱼活动中，将恶意二维码（QR码）植入内容，针对智库、学术机构以及美国和外国政府实体发动攻击。这类鱼叉式钓鱼攻击被称为‘二维码钓鱼’（Quishing）。二维码钓鱼活动通常将二维码图像作为电子邮件附件或嵌入式图片发送，以此规避URL检查、重写和沙箱检测。”

“受害者扫描二维码后，会被引导至攻击者控制的重定向器，这些重定向器会收集设备和身份属性，例如用户代理、操作系统、IP地址、地区和屏幕尺寸，以便有选择性地展示针对移动设备优化的 credential harvesting页面，这些页面伪装成微软365、Okta或VPN门户。”

二维码钓鱼（QR码钓鱼）是一种社会工程学攻击，它利用恶意二维码诱骗受害者访问虚假网站或下载恶意软件。

攻击者将二维码嵌入电子邮件、消息、海报、发票或文档中。用户扫描后，二维码会将其重定向到钓鱼页面，这些页面会窃取凭证、传播恶意软件或诱导付款。二维码钓鱼之所以有效，是因为二维码隐藏了目标网址，且通常能绕过传统的电子邮件安全过滤器，这使得用户更有可能信任并扫描它们。

钓鱼攻击通常会导致会话令牌被盗取和重放，使攻击者能够绕过多因素认证，而不会触发典型的多因素认证失败警报。一旦获得访问权限，攻击者就可以在受害者组织中建立持久存在，并从被攻陷的账户发送更多的鱼叉式钓鱼邮件。由于这些攻击通常始于未受管理的移动设备，它们能够避开标准的终端检测与响应（EDR）和网络安全控制措施。

钓鱼攻击被认为是一种高效且能抵御多因素认证的身份攻击载体。联邦调查局（FBI）敦促各组织采取建议的缓解措施以降低风险。

报告称，2025年5月和6月，曹县APT组织Kimsuky利用恶意二维码开展了鱼叉式钓鱼活动。攻击者冒充外国顾问、使馆工作人员和智库雇员等可信人物，诱使受害者扫描二维码。

这些二维码会指向虚假问卷、伪造的安全驱动器或攻击者控制的基础设施。在一个案例中，一份虚假的会议邀请函将受害者重定向到一个欺诈性的谷歌登录页面，其目的是窃取凭据。

报告称：“2025年5月，伪装成外国顾问的Kimsuky成员发送了一封电子邮件，向某智库负责人咨询曹县半岛近期事态发展的见解。该邮件提供了一个可供扫描的二维码，用于访问一份调查问卷。2025年6月，Kimsuky成员向一家战略咨询公司发送了一封鱼叉式钓鱼邮件，邀请收件人参加一个并不存在的会议。该邮件包含一个二维码，用户扫描后会跳转到一个注册落地页，页面上有一个注册按钮。点击该注册按钮后，访问者会进入一个伪造的谷歌账户登录页面，用户在此输入的登录凭证会被窃取。”

这些活动主要针对智库、高级分析师和战略咨询公司。

联邦调查局（FBI）敦促各组织采用分层防御措施来应对基于二维码的鱼叉式钓鱼攻击。建议包括培训员工识别针对二维码的社会工程学攻击、验证来源以及报告可疑扫描行为。各组织应保障移动设备的安全，监控与二维码相关的活动，实施能抵御钓鱼攻击的多因素认证（MFA），使用强密码，采用最小权限访问原则，并及时为系统打补丁。

Kimsuky APT组织（又名ARCHIPELAGO、Black Banshee、Velvet Chollima、APT43）于2013年首次被卡巴斯基的研究人员发现。该APT组织主要针对韩国的智库和机构，其他受害者分布在美国、欧洲和俄罗斯。

2025年4月，安博士安全情报中心（ASEC）的研究人员在调查一起安全漏洞时，发现有关该组织的攻击活动，活动被追踪为Larva-24005。攻击者利用远程桌面协议（RDP）漏洞获得了对目标系统的初始访问权。

ASEC发布的报告中写道：“在某些系统中，攻击者是通过利用RDP漏洞（BlueKeep，CVE-2019-0708）获得初始访问权限的。虽然在受感染的系统中发现了RDP漏洞扫描器，但没有证据表明它被实际使用过。”“威胁组织还使用了其他方式分发恶意软件，例如将相同文件附加到电子邮件中，以及利用微软Office公式编辑器漏洞（CVE-2017-11882）。”

一旦获得系统访问权限，攻击者便通过安装MySpy恶意软件和RDPWrap来修改配置，以维持远程访问。

在最后阶段，攻击者部署了KimaLogger或RandomQuery键盘记录器来记录按键操作。专家观察到Kimsuky从受感染的系统发送针对韩国和日本的钓鱼邮件。

报告全文下载：

https://www.ic3.gov/CSA/2026/260108.pdf

新闻链接：

North Korea–linked APT Kimsuky behind quishing attacks, FBI warns

今日安全资讯速递

APT事件

Advanced Persistent Threat

俄黑客组织APT28发起针对能源和政策机构的凭证窃取活动

https://thehackernews.com/2026/01/russian-apt28-runs-credential-stealing.html

FBI警告称，曹县APT组织Kimsuky正利用钓鱼攻击针对各国政府、智库和学术机构

North Korea–linked APT Kimsuky behind quishing attacks, FBI warns

MuddyWater通过鱼叉式钓鱼在中东地区投放RustyWater远程访问木马

https://thehackernews.com/2026/01/muddywater-launches-rustywater-rat-via.html

一般威胁事件

General Threat Incidents

钓鱼攻击活动利用马杜罗被捕事件传播后门恶意软件

Phishing Campaign Uses Maduro Arrest Story to Deliver Backdoor Malware

xRAT恶意软件伪装成成人游戏攻击韩国Windows用户

xRAT Malware Attacking Windows Users Disguised as Adult Game

新型MacSync窃取器利用已签名的macOS应用规避Gatekeeper并窃取数据

New MacSync Stealer Uses Signed macOS App to Evade Gatekeeper and Steal Data

Instagram的“1700万用户数据泄露”只是2022年的抓取记录

Instagram’s “17 Million User Data Leak” Was Just Scraped Records from 2022

323,986名BreachForums用户数据库遭泄露，管理员对泄露范围提出异议

Database of 323,986 BreachForums Users Leaked as Admin Disputes Scope

法国邮政和银行业务因疑似DDoS网络攻击中断

https://www.cysecurity.news/2026/01/france-postal-and-banking-services.html

欧洲刑警组织在西班牙逮捕34名“黑斧”成员，涉590万欧元诈骗及有组织犯罪

https://thehackernews.com/2026/01/europol-arrests-34-black-axe-members-in.html

钓鱼网络利用电子罚单系统针对印度车主

https://www.cysecurity.news/2026/01/phishing-network-exploits-e-challan.html

NtKiller工具号称可在暗网规避EDR系统

https://www.cysecurity.news/2026/01/ntkiller-tool-boasts-avedr-evasion-on.html

Trust Wallet浏览器扩展遭黑客攻击，700万美元被盗

https://www.cysecurity.news/2026/01/trust-wallet-browser-extension-hacked-7.html

美国关闭用于大规模银行账户网络盗窃的Web3AdspAnels平台

https://www.cysecurity.news/2026/01/us-shuts-down-web3adspanels-platform.html

得克萨斯州加油站运营商数据泄露，37.7万余名客户信息曝光

Data Breach at Texas Gas Station Operator Exposes Info of 377,000+ Customers

漏洞事件

Vulnerability Incidents

MongoDB的严重漏洞允许未认证的内存数据泄露

https://www.cysecurity.news/2026/01/critical-mongodb-flaw-allows.html

CISA将严重级别HPE OneView漏洞（CVE-2025-37164）添加到其KEV目录

CISA Urges Emergency Patching for Actively Exploited HPE OneView Flaw

趋势科技修复了Apex Central中的一个远程代码执行漏洞

Trend Micro fixed a remote code execution in Apex Central

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《FBI警告称，曹县APT组织Kimsuky正利用钓鱼攻击针对各国政府、智库和学术机构》