Codes QR : le nouveau cheval de Troie dans la cyberguerre nord-coréenne

Sous-titre : Les hackers nord-coréens exploitent des attaques de « quishing » via des codes QR malveillants pour contourner la sécurité et infiltrer des cibles de grande valeur, alerte le FBI.

Tout commence par un e-mail anodin : une invitation à une conférence, un message d’un conseiller étranger ou une note d’un contact d’ambassade. En pièce jointe, un code QR promet un accès rapide aux détails. Mais pour une liste croissante de responsables gouvernementaux, d’universitaires et de membres de groupes de réflexion, scanner ce code revient à ouvrir les portes aux cyber-opérateurs nord-coréens les plus rusés.

En bref

Le groupe nord-coréen Kimsuky utilise des e-mails de spear-phishing contenant des codes QR malveillants (« quishing ») pour cibler des institutions aux États-Unis, au Japon et en Corée du Sud.
Ces attaques contournent la sécurité traditionnelle des e-mails et l’authentification multifacteur (MFA) en détournant les identités cloud via des cookies de session volés.
Les victimes sont incitées à scanner les codes QR avec leurs appareils mobiles, souvent hors du périmètre de surveillance de sécurité standard.
Le FBI a classé le quishing comme une méthode d’attaque à haut niveau de confiance, résiliente à la MFA, désormais activement utilisée dans l’espionnage d’entreprise.
Kimsuky, également connu sous le nom d’APT43 et sanctionné par les États-Unis, est actif depuis au moins 2012.

Anatomie d’une attaque de quishing

Selon une récente alerte du FBI, Kimsuky - l’une des unités cyber les plus notoires soutenues par l’État nord-coréen - a adopté une nouvelle variante du spear-phishing : intégrer des URL malveillantes dans des codes QR envoyés par e-mail. Cette méthode, baptisée « quishing », oblige les victimes à interagir avec l’attaque sur leurs appareils mobiles personnels, contournant ainsi les contrôles de sécurité habituellement présents sur les ordinateurs professionnels.

Une fois scanné, le code QR redirige la cible vers des sites web contrôlés par les attaquants, conçus pour collecter des informations détaillées sur l’appareil : système d’exploitation, user-agent, taille de l’écran, adresse IP, etc. Munis de ces données, les hackers proposent des pages de phishing convaincantes et optimisées pour mobile, imitant des plateformes de confiance comme Microsoft 365, Okta ou des portails VPN d’entreprise.

Le véritable danger réside dans la capture des cookies de session, qui permettent aux attaquants de contourner même l’authentification multifacteur. Avec ces clés numériques, Kimsuky peut détourner l’identité cloud de la victime, établir une persistance et utiliser le compte compromis pour lancer d’autres attaques au sein de l’organisation. Le rapport du FBI met en avant des incidents récents où Kimsuky s’est fait passer pour des professionnels respectés et a invité des employés à de fausses conférences, compromettant ainsi leurs cibles avec succès.

Comme la compromission initiale se produit sur des appareils personnels non gérés, les solutions traditionnelles de détection des terminaux et de surveillance réseau restent aveugles à l’attaque. Cela rend le quishing particulièrement insidieux - et, comme le souligne le FBI, un vecteur de menace « à haut niveau de confiance, résilient à la MFA » pour les entreprises.

Espionnage à grande échelle

Kimsuky cible depuis longtemps des organisations de grande valeur pour la collecte de renseignements, l’évasion des sanctions et le soutien aux programmes d’armement nord-coréens. Malgré les sanctions internationales et une surveillance accrue, les tactiques du groupe continuent d’évoluer - utilisant désormais l’omniprésence et la perception de sécurité des codes QR comme arme contre les institutions mêmes chargées de se défendre contre les menaces étrangères.

Conclusion

À mesure que les codes QR deviennent omniprésents dans nos vies numériques, leur exploitation par des acteurs malveillants comme Kimsuky rappelle cruellement que la commodité s’accompagne souvent de risques cachés. Dans l’univers obscur de la cyber-espionnage, un simple scan peut ouvrir la porte à une intrusion commanditée par un État.

WIKICROOK

Spear : Le spear phishing est une cyberattaque ciblée utilisant des e-mails personnalisés pour inciter des individus ou organisations spécifiques à révéler des informations sensibles.
Code QR : Un code QR est un code-barres bidimensionnel qui stocke des données comme des liens ou du texte, facilement scanné par des appareils mais pouvant aussi dissimuler des instructions malveillantes.
Cookie de session : Un cookie de session est un fichier temporaire dans votre navigateur qui vous maintient connecté à un site ; s’il est volé, il peut permettre à d’autres d’accéder à votre compte.
Multi : Multi fait référence à l’utilisation combinée de différentes technologies ou systèmes - comme les satellites LEO et GEO - pour améliorer la fiabilité, la couverture et la sécurité.
Endpoint Detection and Response (EDR) : L’Endpoint Detection and Response (EDR) désigne des outils de sécurité qui surveillent les ordinateurs pour détecter des activités suspectes, mais peuvent passer à côté des attaques basées sur le navigateur qui ne laissent aucun fichier.