# Kimsuky WhatsApp QR 2025 > [!high] Kimsuky Usa QR Codes Maliciosos para Roubar Credenciais - FBI Alerta em Janeiro 2026 > Em maio e junho de 2025, o [[g0094-kimsuky]] conduziu campanha de "quishing" (QR code phishing) documentada pelo FBI em advisory públicado em janeiro de 2026. O grupo, afiliado ao Reconnaissance General Bureau da Coreia do Norte, enviou emails de spear phishing com QR codes que redirecionavam alvos para páginas falsas de login do Google, capturando credenciais de funcionários de think tanks, instituições acadêmicas, embaixadas e entidades governamentais americanas e estrangeiras. A técnica explora o fato de que QR codes forçam a vítima a usar seu celular pessoal, contornando controles de segurança corporativos. ## Visão Geral O FBI públicou em 8 de janeiro de 2026 um advisory conjunto (com CISA e NSA) alertando sobre o uso de QR codes maliciosos pelo [[g0094-kimsuky]] em campanhas de spear phishing contra organizações americanas e estrangeiras. A campanha, ativa desde maio de 2025, representa uma evolução tática do grupo para contornar tecnologias modernas de segurança de email que detectam links maliciosos tradicionais. O [[g0094-kimsuky]] (também rastreado como APT43, Black Banshee, Emerald Sleet, Springtail, TA427 e Velvet Chollima) opera sob o Reconnaissance General Bureau (RGB) da Coreia do Norte desde pelo menos 2013, com foco em espionagem de política externa, organizações de pesquisa nuclear e defesa, e entidades relacionadas a sanções e política norte-americana em relação à DPRK. A técnica central da campanha de 2025 é o "quishing" - phishing via QR code. Em vez de incluir links maliciosos diretamente no email (facilmente detectados por filtros de segurança modernos), o [[g0094-kimsuky]] embutiu QR codes em emails de aparência legítima. Quando a vítima escaneia o QR code com seu celular para "se registrar em uma conferência" ou "acessar um documento", é redirecionada para uma página falsa de login do Google fora do ambiente corporativo - em um dispositivo pessoal que não possui os controles de segurança corporativos. Em pelo menos um caso documentado pelo FBI (junho de 2025), o [[g0094-kimsuky]] enviou a uma firma de assessoria estratégica um email convidando para uma conferência inexistente. O QR code no email levava a uma página de registro com botão que redirecionava para página falsa de login do Google - onde credenciais eram capturadas silenciosamente. ## Attack Flow da Campanha ```mermaid graph TB A["Reconhecimento<br/>Identificação de alvos: think tanks<br/>Academia, embaixadas, governo<br/>OSINT de funcionários específicos"] --> B["Spear Phishing com QR Code<br/>Email de convite para conferência<br/>Ou acesso a documento urgente<br/>QR code embutido no corpo do email"] B --> C["Pivot para Celular Pessoal<br/>Vítima escaneia QR code com celular<br/>Dispositivo pessoal sem segurança corporativa<br/>Contorna filtros de email e EDR corporativo"] C --> D["Credential Harvesting<br/>Página falsa de login Google<br/>Vítima insere credenciais<br/>Captura silenciosa de usuário e senha"] D --> E["Acesso a Conta Google<br/>Credenciais usadas para acessar Gmail<br/>Google Drive e outros serviços associados<br/>Coleta de inteligência de emails e documentos"] E --> F["Espionagem<br/>Leitura de emails sobre política DPRK<br/>Contatos de pesquisadores e diplomatas<br/>Documentos sobre sanções e negociações"] ``` **Técnicas:** [[t1598-phishing-for-information|T1598]] · [[t1566-002-spearphishing-link|T1566.002]] · [[t1550-use-alternate-authentication-material|T1550]] ## Por que QR Codes Contornam Segurança Corporativa ```mermaid graph TB subgraph "Ataque Tradicional (bloqueado)" EM1["Email com link malicioso<br/>hxxps://fake-google[.]com/login"] FW["Filtro de email corporativo<br/>Deteta URL maliciosa"] BL["Link bloqueado<br/>Email quarentenado"] end subgraph "Ataque QR (contorna defesas)" EM2["Email com QR code<br/>Imagem - sem URL visível"] QR["Vítima escaneia com celular pessoal<br/>Dispositivo pessoal, sem MDM corporativo"] CE["Celular acessa URL maliciosa<br/>Sem filtros corporativos<br/>Credenciais capturadas"] end EM1 --> FW --> BL EM2 --> QR --> CE ``` ## Perfil dos Alvos | Tipo de Alvo | Interesse Estratégico DPRK | |-------------|---------------------------| | Think tanks de política externa | Acesso a análises sobre DPRK, negociações com Seul | | Instituições acadêmicas | Pesquisadores de política nuclear e sanções | | Embaixadas e funcionários diplomáticos | Comúnicações sobre negociações e sanções | | Governo americano e aliados | Inteligência sobre política dos EUA em relação à DPRK | | Organizações humanitárias Coreia | Acesso a redes e contatos na DPRK | ## Relevância para o Brasil e LATAM > [!low] QR Code Phishing Replicável - Técnica Difundida > A campanha de quishing do [[g0094-kimsuky]] não tem alvos diretos no Brasil ou LATAM. Contudo, a técnica de QR code phishing - que contorna controles de email corporativos forçando uso de celular pessoal - é diretamente replicável por qualquer grupo de ameaça, incluindo grupos que operam no Brasil. Organizações brasileiras que adotam políticas BYOD sem MDM nos celulares pessoais dos funcionários são especialmente vulneráveis. A técnica já foi observada em campanhas de phishing bancário no Brasil em 2025. ## Detecção e Defesa - Implementar solução de Mobile Device Management (MDM) para dispositivos pessoais que acessam recursos corporativos (BYOD) - Treinar funcionários sobre quishing: qualquer QR code em email que solicita credenciais é suspeito - Configurar políticas de phishing-resistant MFA (FIDO2/hardware keys) - credenciais roubadas via QR code phishing não funcionam com FIDO2 - Usar ferramentas de segurança de email que analisam imagens em busca de QR codes e verificam URLs embutidas - Verificar URLs antes de inserir credenciais: login.google.com é diferente de google-login[.]com ou qualquer variante ## Referências - [FBI/CISA/NSA — North Korean Kimsuky Actors Leverage Malicious QR Codes (Jan 2026)](https://www.ic3.gov/CSA/2026/260108.pdf) - [The Hacker News — FBI Warns North Korean Hackers Using Malicious QR Codes in Spear-Phishing (Jan 2026)](https://thehackernews.com/2026/01/fbi-warns-north-korean-hackers-using.html) - [SecurityWeek — FBI: North Korean Spear-Phishing Attacks Use Malicious QR Codes (Jan 2026)](https://www.securityweek.com/fbi-north-korean-spear-phishing-attacks-use-malicious-qr-codes/) - [Security Affairs — North Korea-linked Kimsuky behind quishing attacks, FBI warns (Jan 2026)](https://securityaffairs.com/186755/intelligence/north-korea-linked-apt-kimsuky-behind-quishing-attacks-fbi-warns.html) - [[g0094-kimsuky]] - Grupo norte-coreano (APT43/Springtail) responsável pela campanha - [[t1598-phishing-for-information|T1598]] - Phishing de credenciais via QR codes maliciosos - [[t1566-002-spearphishing-link|T1566.002]] - Spear phishing com link embutido em QR code