Waspada! Peretas Korea Utara Gunakan QR Code untuk Phishing

Biro Investigasi Federal Amerika Serikat (FBI) mengeluarkan peringatan serius terkait pola serangan siber terbaru yang dilakukan oleh peretas asal Korea Utara. Dalam peringatan yang dirilis pada Kamis lalu, FBI mengungkap bahwa kelompok peretas yang didukung negara tersebut kini memanfaatkan QR code berbahaya sebagai sarana utama dalam kampanye spear-phishing atau phishing terarah. Serangan ini menargetkan berbagai organisasi strategis di Amerika Serikat dan juga luar negeri.

Menurut FBI, sejak tahun 2025 kelompok peretas bernama Kimsuky telah aktif menyasar lembaga pemikir (think tank), institusi pendidikan, serta instansi pemerintahan dengan metode yang tergolong baru dan sulit terdeteksi. “Aktor Kimsuky menyisipkan QR code berbahaya dalam email spear-phishing. Teknik ini dikenal sebagai quishing,” tulis FBI dalam peringatan resminya.

Berbeda dengan phishing konvensional yang mengandalkan tautan atau lampiran berbahaya, quishing memanfaatkan QR code untuk mengelabui korban. Saat QR code dipindai, korban diarahkan ke situs palsu atau infrastruktur yang dikendalikan peretas. FBI menilai metode ini sangat efektif karena mendorong korban berpindah dari perangkat kerja yang umumnya dilindungi sistem keamanan perusahaan ke perangkat seluler pribadi yang keamanannya lebih lemah.

“Dengan memanfaatkan perangkat mobile yang tidak dikelola perusahaan, pelaku dapat melewati pertahanan keamanan tradisional seperti firewall, filter email, hingga sistem deteksi ancaman,” jelas FBI.

Kelompok Kimsuky sendiri bukanlah nama baru di dunia kejahatan siber. Kelompok ini juga dikenal dengan berbagai alias seperti APT43, Black Banshee, Emerald Sleet, Springtail, TA427, dan Velvet Chollima. Berdasarkan penilaian otoritas keamanan AS, Kimsuky berafiliasi dengan Reconnaissance General Bureau (RGB), badan intelijen militer Korea Utara. Selama bertahun-tahun, mereka dikenal agresif melakukan operasi spionase siber, terutama melalui serangan spear-phishing yang dirancang untuk menipu target secara personal.

Pada Mei 2024, pemerintah AS bahkan menuding kelompok ini mengeksploitasi konfigurasi Domain-based Message Authentication, Reporting, and Conformance (DMARC) yang tidak tepat. Dengan celah tersebut, Kimsuky mampu mengirim email yang terlihat seolah berasal dari domain resmi dan tepercaya, sehingga meningkatkan peluang korban untuk terjebak.

FBI mencatat bahwa sepanjang Mei hingga Juni 2025, Kimsuky menjalankan sejumlah skenario serangan berbasis QR code dengan modus yang beragam. Dalam salah satu kasus, peretas menyamar sebagai penasihat asing dan mengirim email kepada pimpinan think tank untuk meminta pandangan terkait situasi geopolitik di Semenanjung Korea. Korban diminta memindai QR code yang diklaim berisi kuesioner.

Modus lain dilakukan dengan menyamar sebagai pegawai kedutaan. Dalam email tersebut, pelaku meminta masukan dari peneliti senior think tank mengenai isu hak asasi manusia di Korea Utara, disertai QR code yang disebut-sebut sebagai akses ke penyimpanan dokumen aman.

Tak hanya itu, FBI juga menemukan kasus di mana pelaku berpura-pura menjadi pegawai think tank dan mengirim email berisi QR code yang mengarahkan korban ke infrastruktur milik peretas untuk aksi lanjutan. Bahkan, sebuah perusahaan konsultan strategis menerima undangan konferensi palsu. Penerima email diminta memindai QR code untuk mendaftar, namun justru diarahkan ke halaman login Google palsu yang dirancang untuk mencuri kredensial akun.

Ancaman ini semakin mengkhawatirkan karena muncul tak lama setelah perusahaan keamanan siber ENKI mengungkap kampanye serupa yang dilakukan Kimsuky. Dalam kampanye tersebut, QR code digunakan untuk menyebarkan varian baru malware Android bernama DocSwap, yang disamarkan melalui email phishing seolah berasal dari perusahaan logistik berbasis di Seoul.

FBI menegaskan bahwa serangan quishing sering berujung pada pencurian token sesi. Dengan teknik ini, peretas dapat melewati sistem multi-factor authentication (MFA) dan mengambil alih akun cloud korban tanpa memicu peringatan keamanan yang biasanya muncul ketika terjadi kegagalan MFA.

“Setelah berhasil menguasai akun, pelaku akan mempertahankan aksesnya dan menggunakan kotak email korban untuk melancarkan serangan lanjutan,” ujar FBI. Hal ini membuat serangan semakin sulit terdeteksi karena berasal dari akun yang sah.

Karena jalur serangan bermula dari perangkat seluler yang tidak berada dalam pengawasan sistem Endpoint Detection and Response (EDR) maupun inspeksi jaringan perusahaan, FBI menilai quishing sebagai salah satu metode pembobolan identitas paling berbahaya saat ini. Teknik ini dinilai tangguh terhadap MFA dan menjadi ancaman serius bagi keamanan organisasi modern.

FBI pun mengimbau organisasi dan individu untuk lebih waspada terhadap email yang menyertakan QR code, terutama jika berasal dari pengirim yang mengaku sebagai pihak resmi dan meminta tindakan segera. Edukasi keamanan siber serta pembatasan penggunaan QR code dalam komunikasi sensitif dinilai menjadi langkah penting untuk meminimalkan risiko serangan serupa di masa mendatang.