文章总结： FBI警告朝鲜黑客Kimsuky利用二维码对美国智库及政府机构进行钓鱼攻击。攻击者伪装身份发送含恶意二维码邮件，诱导受害者访问伪造登录页以窃取凭证并绕过MFA，利用移动设备规避安全监控。建议加强员工安全意识培训、验证二维码来源并实施移动设备管理。 综合评分： 90 文章分类： 威胁情报,社会工程学,安全意识

FBI警告：Kimsuky黑客利用二维码对美国机构进行网络钓鱼攻击

Rhinoer Rhinoer

犀牛安全

2026年1月16日 00:00 北京

国联邦调查局发布紧急警报，警告称朝鲜官方支持的黑客组织 Kimsuki 正在利用恶意二维码发起针对美国组织的鱼叉式网络钓鱼攻击。

观察到的活动针对的是美国境内参与朝鲜相关政策、研究和分析的组织，包括非政府组织、智库、学术机构、战略咨询公司和政府实体。

在网络钓鱼中使用二维码（也称为“网络钓鱼”）并不是什么新鲜事； 当网络犯罪分子利用二维码窃取钱财时，FBI就曾发出警告，但它仍然是一种有效的安全绕过手段。

Kimsuky（APT43）是一个 由朝鲜国家支持的威胁组织 ，与多起攻击有关，黑客冒充记者，利用已知漏洞，依靠 供应链攻击和ClickFix 策略。

FBI 警告说，在去年的攻击活动中，与 Kimsuki 有关联的攻击者发送了包含二维码的电子邮件，这些二维码会将受害者重定向到伪装成问卷调查、安全驱动器或虚假登录页面的恶意位置。

该机构提供了四个例子，说明 Kimsuki 如何利用 quishing 将目标重定向到攻击者控制的位置。

为了欺骗受害者，袭击者假扮成外国投资者、大使馆工作人员、智库成员和会议组织者。

美国联邦调查局表示： “2025 年 6 月，Kimsuky 成员向一家战略咨询公司发送了一封钓鱼邮件，邀请收件人参加一个根本不存在的会议。 ”压制技术

在钓鱼攻击中，扫描二维码的受害者通常会被路由到攻击者控制的基础设施，该基础设施会对其设备进行指纹识别，收集用户代理详细信息、操作系统、IP 地址、屏幕尺寸和本地语言。

通常情况下，受害者会看到一个模仿 Microsoft 365、Okta、VPN 门户或 Google 登录页面的网络钓鱼页面，其最终目的是窃取访问凭证或令牌。

该机构指出：“拦截操作通常以会话令牌窃取和重放告终，使攻击者能够绕过多因素身份验证并劫持云身份，而不会触发典型的‘MFA 失败’警报。”

由于它迫使目标用户使用移动设备扫描二维码，威胁行为者得以绕过传统的电子邮件安全解决方案，并从被入侵的收件箱中散布恶意电子邮件。

FBI 将这些攻击描述为“不受 MFA 保护的身份入侵向量”，因为它们源自标准端点检测和响应 (EDR) 和网络监控之外的未管理移动设备。

为了防御这些攻击，FBI 建议进行有针对性的员工培训、二维码来源验证、实施移动设备管理以及强制执行多因素身份验证。

该机构建议，此类攻击的目标应立即向当地的 FBI 网络小组或 IC3 门户网站报告。

信息来源：Bleepingcomputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《FBI警告：Kimsuky黑客利用二维码对美国机构进行网络钓鱼攻击》