FBI Peringatkan Peretas Kimsuky Gunakan QR Code untuk Phishing Organisasi AS

Biro Investigasi Federal Federal Bureau of Investigation (FBI) mengeluarkan peringatan resmi terkait kampanye spearphishing yang dilakukan oleh kelompok peretas asal Korea Utara, Kimsuky. Dalam operasi terbaru, kelompok ini memanfaatkan QR code berbahaya untuk menipu organisasi di Amerika Serikat dan mencuri kredensial akses digital.

Menurut peringatan kilat FBI, aktivitas ini menargetkan organisasi yang terlibat dalam kebijakan, riset, dan analisis terkait Korea Utara. Sasaran kampanye meliputi lembaga swadaya masyarakat, think tank, institusi akademik, firma penasihat strategis, hingga entitas pemerintahan di Amerika Serikat.

Teknik yang digunakan dikenal sebagai quishing—phishing berbasis QR code. Metode ini bukan hal baru, namun masih efektif untuk melewati sistem keamanan email tradisional. Dengan memaksa korban memindai QR code menggunakan perangkat seluler, pelaku dapat menghindari deteksi email security gateway dan endpoint protection yang umumnya diterapkan pada perangkat kerja.

Kimsuky, yang juga dikenal sebagai APT43, merupakan kelompok ancaman siber yang didukung negara dan telah lama dikaitkan dengan berbagai teknik serangan, mulai dari penyamaran sebagai jurnalis, eksploitasi kerentanan yang telah diketahui, serangan rantai pasok, hingga taktik ClickFix. Dalam kampanye terbaru, FBI mengamati email yang berisi QR code yang mengarahkan korban ke situs berbahaya yang disamarkan sebagai kuesioner, penyimpanan dokumen aman, atau halaman login palsu.

FBI mengungkap beberapa contoh nyata penggunaan quishing oleh Kimsuky. Dalam satu kasus pada Juni 2025, pelaku mengirim email spearphishing ke sebuah firma penasihat strategis dengan undangan konferensi fiktif. Modus serupa juga dilakukan dengan berpura-pura sebagai investor asing, staf kedutaan, anggota think tank, hingga penyelenggara konferensi internasional.

Saat korban memindai QR code tersebut, mereka diarahkan melalui infrastruktur yang sepenuhnya dikendalikan penyerang. Infrastruktur ini digunakan untuk melakukan fingerprinting perangkat, mengumpulkan informasi seperti user agent, sistem operasi, alamat IP, ukuran layar, dan bahasa lokal. Setelah itu, korban biasanya disajikan halaman phishing yang meniru layanan populer seperti Microsoft 365, Okta, portal VPN, atau Google, dengan tujuan akhir mencuri kredensial atau session token.

FBI menekankan bahwa banyak operasi quishing berakhir dengan pencurian dan replay token sesi. Teknik ini memungkinkan penyerang melewati multi-factor authentication (MFA) dan mengambil alih identitas cloud tanpa memicu peringatan kegagalan MFA yang umum. Karena serangan dilakukan melalui perangkat seluler pribadi yang tidak dikelola, metode ini dinilai sebagai vektor intrusi identitas yang relatif tahan terhadap MFA dan berada di luar jangkauan sistem EDR serta pemantauan jaringan perusahaan.

Untuk mengurangi risiko, FBI merekomendasikan sejumlah langkah mitigasi, termasuk pelatihan karyawan yang lebih terarah, verifikasi sumber QR code sebelum dipindai, penerapan mobile device management, serta penegakan MFA secara konsisten. Organisasi yang menjadi target atau mencurigai adanya aktivitas serupa juga diminta segera melaporkannya ke unit siber FBI setempat atau melalui portal IC3.

Peringatan ini menegaskan bahwa teknik sederhana seperti QR code dapat menjadi alat efektif dalam serangan siber tingkat tinggi, terutama ketika dikombinasikan dengan rekayasa sosial yang matang dan pemahaman mendalam terhadap kebiasaan kerja target.