O FBI emitiu um alerta de alta prioridade de que o APT Kimsuky, ligado à Coreia do Norte (DPRK), tem incorporado URLs maliciosos em códigos QR entregues via spear‑phishing para evadir inspeção de e-mails e URLs. O bureau instou organizações em risco a reforçar MFA, controles de dispositivos móveis e alertas aos usuários sobre a digitalização/escaneamento de códigos QR.

Em 8 de janeiro de 2026, o FBI divulgou um aviso relâmpago de que o Kimsuky, uma ameaça persistente avançada vinculada à Coreia do Norte, adotou táticas de "quishing" que incorporam URLs maliciosas em códigos QR dentro de e-mails e anexos de spear‑phishing. Ao direcionar os alvos a escanear códigos QR com dispositivos móveis, os atacantes podem contornar filtragem de e-mail e de URLs corporativos, coletar tokens de sessão e, em alguns casos, contornar a autenticação multifator para tomar o controle de contas em nuvem. O comunicado destacou setores alvo, como organizações não governamentais, think tanks, instituições acadêmicas e pesquisadores de direitos humanos, e descreveu atividades subsequentes que incluíam movimento lateral e reutilização de credenciais. O bureau recomendou aplicar políticas de MFA baseadas em risco que resistam ao roubo de tokens, restringir a leitura de códigos QR em dispositivos corporativos, adotar controles de acesso Zero Trust e realizar exercícios de conscientização sobre phishing e resposta a incidentes. O FBI também instou a relatos rápidos e ao compartilhamento de informações para que defensores possam bloquear infraestruturas observadas e mitigar a exposição de tokens. Veículos de segurança reiteraram o alerta enquanto examinavam telemetria e práticas recomendadas de mitigação para defensores empresariais.