FBI varnar: Nordkoreansk hackergrupp lockar USA-anställda att skanna QR-koder

Angreppen riktas särskilt mot verksamheter som arbetar med policy, forskning och analys kopplat till Nordkorea – från tankesmedjor och universitet till rådgivningsfirmor och myndigheter. Enligt BleepingComputer och The Hacker News har FBI sett flera kampanjer där QR-koder används som genväg för att komma runt traditionella säkerhetsfilter.

QR-koder blir en ny genväg för nätfiske

Metoden kallas ofta ”quishing” (QR + phishing): i stället för att klicka på en länk i mejlet skannar mottagaren en QR-kod, ofta med mobilen. Det kan låta harmlöst – men poängen är att flytta offret från en jobbdator med företagets skydd, till en mobil som kan vara mindre övervakad och sämre skyddad.

FBI beskriver hur QR-koderna leder vidare till sidor som utger sig för att vara allt från enkäter och ”säkra dokumentmappar” till falska inloggningssidor för exempelvis Microsoft 365, VPN-tjänster eller identitetsplattformar som Okta. Syftet är att stjäla inloggningar eller sessionstokens och på så sätt kapa konton, enligt The Hacker News.

Falska konferenser och låtsas-roller: så luras måltavlorna

I kampanjer som FBI kopplar till Kimsuky har angriparna utgett sig för att vara bland annat:

• utländska investerare
• ambassadpersonal
• personer i tankesmedjor
• konferensarrangörer

Ett konkret exempel i FBI:s varning gäller ett mejl som skickades i juni 2025, där en strategisk rådgivningsfirma bjöds in till en konferens som inte existerade, enligt BleepingComputer.

Därför är QR-attacker extra svåra att stoppa

När någon skannar en QR-kod kan trafiken först gå via angriparnas egna servrar. Där kan de ”fingerprinta” enheten – till exempel samla in information om:

• operativsystem
• IP-adress och plats
• språk och skärmstorlek
• webbläsarinfo (user agent)

Sedan kan offret skickas vidare till en falsk inloggningssida som ser trovärdig ut. FBI varnar också för att quishing ofta slutar med att sessionstokens stjäls och återanvänds, vilket kan göra att angriparen tar över konton utan att trigga vanliga MFA-varningar om misslyckade inloggningar, enligt The Hacker News.

Det är också därför FBI beskriver metoden som en ”MFA-resilient” väg in – alltså ett intrångssätt som kan stå emot eller kringgå multifaktorautentisering.

Det här rekommenderar FBI att organisationer gör

FBI:s råd är i grunden klassiska – men med tydligt fokus på mobilspåret:

• Utbilda personal om QR-baserat nätfiske och hur det ser ut
• Verifiera källan innan QR-koder skannas (särskilt i mejl)
• Inför Mobile Device Management (MDM) för bättre kontroll av mobiler
• Fortsätt använda MFA – men förstärk med phishing-resistent MFA där det är möjligt

Den som misstänker att organisationen blivit utsatt uppmanas att rapportera omgående till lokala FBI-enheter eller via IC3, enligt FBI:s varning som återges av BleepingComputer.

Bakgrund: Kimsuky har länge jagat forskning och policy

Kimsuky är en välkänd nordkoreansk cyberaktör som kopplats till flera former av spionage och datastölder. Gruppen har bland annat anklagats för att låtsas vara journalister och använda olika sociala ingenjörsknep för att ta sig in i målens system. I äldre amerikanska myndighetsvarningar beskrivs Kimsuky som ett hot som särskilt riktar sig mot organisationer i USA, Japan och Sydkorea, enligt en gemensam rådgivning från CISA.

Slutsats: En liten QR-kod kan räcka för ett stort intrång

QR-koder har blivit vardag – på restauranger, affischer och i betalningar. Men när de dyker upp i oväntade mejl, särskilt i riktade utskick med pressade tidsramar eller lockande dokument, bör varningsklockorna ringa.

FBI:s budskap är tydligt: quishing är inte nytt – men det fungerar, och Kimsuky använder det nu systematiskt mot verksamheter som sitter på politiskt och strategiskt värdefull information.