Biro Investigasi Federal Amerika Serikat (FBI) mengeluarkan peringatan keras mengenai kampanye serangan siber canggih yang dilancarkan oleh kelompok peretas asal Korea Utara, Kimsuky. Kelompok ini dilaporkan memanfaatkan kode QR berbahaya dalam serangan phishing bertarget, atau dikenal sebagai ‘quishing‘, untuk mencuri kredensial dan melewati autentikasi multifaktor (MFA) dari institusi pemerintah, lembaga pemikir, dan akademisi di AS.
Dalam laporan Flash terbaru yang diterbitkan pada Jumat, 9 Januari 2026, FBI mengungkapkan bahwa Kimsuky mengirimkan email jebakan yang sangat meyakinkan. Email-email ini berisi gambar dengan kode QR yang, karena sifatnya sebagai gambar, lebih sulit dideteksi dan dianggap berbahaya oleh sistem perlindungan email, sehingga lebih mudah lolos ke kotak masuk korban.
Artikel informatif lainnya dapat dibaca melalui Mureks. mureks.co.id
Serangan ini memanfaatkan fakta bahwa kode QR paling mudah dipindai menggunakan ponsel. Perangkat seluler seringkali merupakan perangkat yang tidak dikelola dan berada di luar batas deteksi dan respons titik akhir (EDR) serta inspeksi jaringan normal, sehingga meningkatkan peluang keberhasilan serangan. Catatan Mureks menunjukkan, modus operandi ini menjadi ancaman serius karena kemampuannya menembus pertahanan siber konvensional.
Ketika korban memindai kode QR tersebut, mereka akan diarahkan melalui beberapa pengarah (redirector) yang bertugas mengumpulkan berbagai informasi dan atribut identitas, seperti user-agent, sistem operasi, alamat IP, lokal, dan ukuran layar. Data ini kemudian digunakan untuk mengarahkan korban ke halaman pengumpul kredensial yang dibuat khusus, meniru portal Microsoft 365, Okta, atau VPN.
Jika korban tidak menyadari penipuan tersebut dan mencoba masuk, kredensial mereka akan jatuh ke tangan penyerang. Lebih lanjut, serangan ini seringkali diakhiri dengan pencurian dan pemutaran ulang token sesi, memungkinkan pelaku ancaman untuk melewati autentikasi multifaktor (MFA) dan membajak akun cloud tanpa memicu peringatan ‘MFA gagal’ yang biasa.
“Adversaries then establish persistence in the organization and propagate secondary spearphishing from the compromised mailbox,” FBI lebih lanjut menyatakan. “Because the compromise path originates on unmanaged mobile devices outside normal Endpoint Detection and Response (EDR) and network inspection boundaries, quishing is now considered a high-confidence, MFA-resilient identity intrusion vector in enterprise environments.”
Untuk bertahan dari serangan quishing canggih Kimsuky, FBI merekomendasikan strategi keamanan ‘berlapis-lapis’. Ini termasuk edukasi karyawan tentang risiko phishing QR code, penetapan protokol yang jelas untuk melaporkan kode QR yang mencurigakan, serta penerapan manajemen perangkat seluler (MDM) yang mampu menganalisis URL yang terhubung dengan QR.
