أصدر مكتب التحقيقات الفيدرالي الأميركي (FBI) تحذيراً رسمياً بشأن حملة سيبرانية تقودها جهات مدعومة من الدولة في كوريا الشمالية، تستغل رموز الاستجابة السريعة (QR Codes) في هجمات تصيّد موجّهة ضد مؤسسات أميركية وأجنبية. هذه التقنية، التي باتت تُعرف باسم Quishing، تجبر الضحايا على الانتقال من أجهزة مؤمنة بسياسات الشركات إلى هواتف محمولة أقل حماية، ما يمنح المهاجمين فرصة لتجاوز أنظمة الدفاع التقليدية.
وبحسب التحذير، فإن مجموعة Kimsuky – المعروفة أيضاً بأسماء مثل APT43، Black Banshee، Emerald Sleet، Springtail، TA427، Velvet Chollima – ترتبط بجهاز الاستطلاع العام الكوري الشمالي (RGB)، ولها تاريخ طويل في حملات التصيّد المصممة خصيصاً للتحايل على بروتوكولات التحقق من البريد الإلكتروني.
خلفية عن مجموعة Kimsuky وأساليبها
في مايو 2024، اتهمت الحكومة الأميركية المجموعة باستغلال ثغرات في سياسات سجلات DMARC غير المهيأة بشكل صحيح، لإرسال رسائل بريد إلكتروني تبدو وكأنها من نطاقات شرعية. هذا الأسلوب منحهم قدرة على خداع المؤسسات الأكاديمية ومراكز الأبحاث وحتى كيانات حكومية.
لكن الجديد في عام 2025 كان إدخال رموز QR كوسيلة رئيسية للهجوم. فقد رصد الـFBI عدة محاولات تضمنت:
- انتحال شخصية مستشار أجنبي وطلب رأي من باحث في مركز أبحاث حول تطورات شبه الجزيرة الكورية عبر رمز QR يقود إلى استبيان مزيف.
- انتحال موظف سفارة وطلب مدخلات حول قضايا حقوق الإنسان في كوريا الشمالية، مع رمز QR يدّعي توفير وصول إلى “مخزن آمن”.
- إرسال دعوات لمؤتمر غير موجود إلى شركة استشارات استراتيجية، مع رمز QR يقود إلى صفحة تسجيل مزيفة تهدف إلى سرقة بيانات حسابات Google.
حملات حديثة تكشف تطور الهجمات
في ديسمبر 2025، كشفت شركة ENKI عن حملة جديدة استخدمت رموز QR لنشر نسخة معدلة من برمجية DocSwap على أجهزة أندرويد، عبر رسائل بريد إلكتروني تنتحل هوية شركة لوجستية مقرها سيول.
كما أوضح تقرير الـFBI أن هذه العمليات غالباً ما تنتهي بسرقة رموز الجلسات (Session Tokens) وإعادة استخدامها، ما يمكّن المهاجمين من تجاوز أنظمة المصادقة متعددة العوامل (MFA) دون إطلاق تنبيهات فشل تسجيل الدخول المعتادة. وبمجرد السيطرة على الحسابات، يقوم القراصنة بإنشاء وجود دائم داخل المؤسسة، ويستغلون البريد الإلكتروني المخترق لإطلاق موجات جديدة من التصيّد الموجّه.
تهديد متصاعد على الهواتف غير المُدارة
يشير التحذير إلى أن مسار الاختراق يبدأ عادةً من أجهزة محمولة غير مُدارة، تقع خارج نطاق أنظمة الكشف عن التهديدات على نقاط النهاية (EDR) وخارج حدود الفحص الشبكي التقليدي. لذلك، يعتبر الـFBI أن هجمات Quishing باتت متقدمة وذات ثقة عالية في قدرتها على اختراق الهوية المؤسسية، حتى في بيئات تعتمد على المصادقة متعددة العوامل.
هذا التحذير يعكس تصاعد خطورة الاعتماد على الهواتف المحمولة في بيئات العمل، ويؤكد أن المهاجمين يواصلون تطوير أدواتهم لتجاوز الدفاعات، مستغلين ثغرات بشرية وتقنية في آن واحد.
