Barracuda full logo

Le FBI met en garde contre une campagne de spear-phishing nord-coréenne

Thèmes:
20 janv. 2026
|
Mike Vizard

Comment les tactiques sophistiquées d’hameçonnage par QR code menacent les organisations et les individus ciblés

Ce qu’il faut retenir

  • Le FBI a lancé un avertissement concernant des campagnes de spear-phishing nord-coréennes avancées utilisant des tactiques d’hameçonnage par QR code (quishing).
  • Kimsuky, un groupe cybernétique parrainé par l’État, est passé de la distribution aléatoire de QR code à cibler des individus et des organisations spécifiques par le biais d’« e-mails personnalisés ».
  • Les attaques de quishing exploitent des QR codes malicieux qui renvoient vers de faux sites web, permettant le téléchargement de malware ou la collecte de données tout en contournant les mesures de sécurité traditionnelles.
  • Le quishing est difficile à détecter, car les QR codes intégrés dans les e-mails peuvent échapper à l’inspection des URL et aux bacs à sable de sécurité.

Le Federal Bureau of Investigation (FBI) a émis une alerte flash avertissant qu’un groupe de cybermenace parrainé par l’État nord-coréen, connu sous le nom de Kimsuky, a fait évoluer ses tactiques et techniques d’hameçonnage par QR code , également appelé quishing, pour créer des campagnes de spear phishing ciblant des individus spécifiques.

Les attaques de quishing sont basées sur des QR codes malveillants contenant des liens vers des sites web frauduleux où des malwares sont ensuite téléchargés ou des données sensibles collectées via un site conçu pour paraître légitime.

Au lieu de simplement distribuer des QR codes au hasard, le FBI avertit les professionnels de la cybersécurité que le groupe Kimsuky tente désormais de cibler des individus spécifiques. Par exemple, en mai de l’année dernière, un acteur de la menace se faisant passer pour un conseiller étranger a envoyé un e-mail demandant des informations à un responsable de groupe de réflexion concernant les récents développements sur la péninsule coréenne. L’e-mail contenait un QR code à scanner pour accéder à un questionnaire. Plus tard dans le mois, des acteurs de Kimsuky se faisant passer pour un employé de l’ambassade ont envoyé un e-mail demandant l’avis d’un chercheur principal d’un groupe de réflexion sur les questions relatives aux droits de l’homme en Corée du Nord. L’e-mail contenait un QR code censé donner accès à un lecteur sécurisé.

En mai dernier, les acteurs de la menace de Kimsuky se faisant passer pour un employé d’un think tank ont envoyé un e-mail contenant un QR code qui, une fois scanné, redirige la personne ciblée vers l’infrastructure Kimsuky conçue pour mener des activités malicieuses. En juin 2025, ils ont envoyé un e-mail de spear-phishing à une société de conseil stratégique invitant les destinataires à une conférence inexistante. L’e-mail contenait unQR code qui redirigeait l’utilisateur vers une page d’inscription comportant un bouton pour s’inscrire. Le bouton d’inscription redirigeait les visiteurs vers une fausse page de connexion à un compte Google, où les utilisateurs pouvaient saisir leurs identifiants de connexion pour les récolter.

Pourquoi les attaques de quishing sont si dangereuses

Les attaques de quishing sont extrêmement difficiles à détecter et deviennent potentiellement plus dangereuses à mesure qu’elles deviennent plus ciblées. Ils intègrent généralement des QR codes, soit en pièce jointe, soit sous forme de graphique dans le corps du message, afin de contourner l’analyse des URL, la réécriture automatique et les mécanismes de sandboxing. Après l’analyse, les victimes sont dirigées vers des redirections contrôlées par les pirates qui collectent les attributs de l’appareil et de l’identité, tels que le système d’exploitation et l’adresse IP, afin d’acheminer l’utilisateur vers une fausse page web qui semble crédible.

Une fois connecté, les pirates aggraveront la situation en volant également des jetons qui peuvent ensuite être utilisés pour contourner les protocoles d’authentification multifacteur (MFA) sur lesquels de nombreux fournisseurs d’applications et de services cloud s’appuient pour sécuriser leurs environnements.

Comment se protéger contre les attaques de quishing

En plus de déployer des solutions de gestion des appareils mobiles (MDM) ou de solutions de sécurité des terminaux capables d’analyser les URL que les QR codes malicieux tentent de rediriger vers un faux site web, le FBI conseille aux équipes de cybersécurité de s’assurer que les utilisateurs finaux sont conscients des risques associés aux QR codes.

De plus, les organisations devraient déployer une authentification multifacteur résistante à l’hameçonnage pour tous les accès à distance et les systèmes sensibles, surveiller toutes les entrées d’identifiants et l’activité réseau impliquant des QR codes, et appliquer des politiques de mots de passe forts sur tous les services, en accordant une attention particulière à la longueur, à l’unicité et au stockage sécurisé.

Enfin, le FBI suggère aux organisations de revoir les privilèges d’accès conformément au principe du moindre privilège, de vérifier régulièrement les autorisations de compte inutilisées ou excessives, de mettre à jour les outils antivirus et anti-malware et, si possible, de remédier à toute vulnérabilité connue sur les appareils utilisés pour scanner les QR codes.

Le quishing n’est bien sûr qu’une des techniques utilisées par la Corée du Nord pour accroître ses réserves de trésorerie et financer son programme d’armement, notamment en permettant à des ressortissants nord-coréens d’intégrer une main-d’œuvre informatique à distance qui exploite ensuite son accès privilégié pour voler des données. Le défi, comme toujours, est que chaque jour qui passe, les tactiques et les techniques utilisées pour atteindre cet objectif deviennent de plus en plus pernicieuses.

S’abonner au blog Barracuda
Mike Vizard

Mike Vizard est un spécialiste de l'informatique depuis plus de 25 ans et à ce titre, a publié et contribué à de nombreuses publications techniques, dont InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet et Digital Review. Il rédige actuellement des articles de blog pour IT Business Edge, et contribue à la rédaction d'articles pour CIOinsight, The Channel Insider, Programmableweb et Slashdot. Mike blogue également sur la technologie cloud émergente pour SmarterMSP.

Connectez-vous à Mike sur LinkedIn ou Twitter.

Billets associés :
Max Messenger: A fake data breach with genuine consequences?
Max Messenger: A fake data breach with genuine consequences?
 Survey surfaces growing awareness of AI security risks
Survey surfaces growing awareness of AI security risks
 Unofficial competition at the Winter Olympics: Cybercrime
Unofficial competition at the Winter Olympics: Cybercrime
 A rise in hacktivist attacks puts all web applications at risk, warns UK’s NCSC
A rise in hacktivist attacks puts all web applications at risk, warns UK’s NCSC
Rechercher dans le blog

Rapport 2025 sur les violations de la sécurité des e-mails

Principales conclusions concernant l’expérience et l’impact des failles de sécurité des e-mails sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Rapport d’informations de 2025 sur les clients des fournisseurs de services managés 

Panorama mondial sur les besoins et attentes des organisations vis-à-vis de leurs fournissuers de services managés en cybersécurité

Recevez le rapport d'enquête

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.