Le FBI a publié un avis de haute priorité indiquant que l'APT Kimsuky, lié à la RPDC, a intégré des URL malveillantes dans des codes QR diffusés via spear‑phishing pour échapper à l'inspection des e‑mails et des URL. Le bureau a exhorté les organisations à risque à renforcer l'authentification multifacteur (MFA), les contrôles des appareils mobiles et à alerter les utilisateurs sur les risques liés au scan des codes QR.

Le 8 janvier 2026, le FBI a publié un avertissement éclair indiquant que Kimsuky, une menace persistante avancée liée à la Corée du Nord, a adopté des tactiques de « quishing » qui intègrent des URL malveillantes dans des codes QR à l'intérieur d'e-mails et de pièces jointes de spear‑phishing. En incitant les cibles à scanner des codes QR avec des appareils mobiles, les attaquants peuvent contourner les filtres d'e-mails et d'URL d'entreprise, récolter des jetons de session et, dans certains cas, contourner l'authentification multifacteur pour prendre le contrôle de comptes dans le cloud. L'avis mettait en avant des secteurs ciblés tels que les organisations non gouvernementales, les think tanks, les établissements académiques et les chercheurs en droits humains, et décrivait des activités de suivi incluant le mouvement latéral et la réutilisation d'identifiants. Le bureau recommandait d'appliquer des politiques MFA basées sur le risque et résistantes au vol de jetons, de restreindre la numérisation de codes QR sur les appareils d'entreprise, d'appliquer des contrôles d'accès Zero Trust et de mener des exercices de sensibilisation au phishing et de réponse aux incidents. Le FBI a également encouragé le signalement rapide et le partage d'informations afin que les défenseurs puissent bloquer l'infrastructure observée et atténuer l'exposition des jetons. Des médias spécialisés en sécurité ont réitéré l'avertissement tout en examinant la télémétrie et les bonnes pratiques d'atténuation pour les défenseurs en entreprise.