文章总结： FBI预警朝鲜Kimsuky利用二维码钓鱼攻击外交专家，诱导扫码窃取凭证并绕过MFA。其优势在于绕过邮件防护及精准投放。建议加强反向验证、启用防钓鱼MFA如硬件密钥、部署MDM监控日志，并隔离工作设备，以防范此类精准网络间谍活动。 综合评分： 85 文章分类： 威胁情报,社会工程学,安全意识,红队,安全运营

警惕！扫个二维码就被盗号？朝鲜Kimsuky用“Quishing”陷阱，专盯外交专家偷机密

原创

AI紫队安全研究 AI紫队安全研究

AI紫队安全研究

2026年1月17日 12:02 广东

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【…】,然后点击【设为星标】即可。

“麻烦扫这个码填个问卷，关于朝鲜半岛政策的”——收到这类来自“外交顾问”“智库同事”的邮件，千万别轻易扫码！2026年初，FBI紧急预警：朝鲜APT组织Kimsuky正用“恶意二维码”发起定向钓鱼（俗称“Quishing”），目标直指研究朝鲜问题的智库、学术机构和外交政策专家，已在2025年5-6月曝出多起成功案例，扫码后不仅账号会被盗，甚至可能让黑客绕过双因素认证（MFA），悄悄接管整个云端身份。

这个老牌朝鲜黑客组，把“扫码”这个日常操作变成了“间谍工具”，套路隐蔽到连资深从业者都可能中招。今天就拆解他们的“二维码陷阱”，教你如何避开这场针对“高知群体”的精准猎杀！

 一、黑客的“二维码剧本”：4个真实案例，全是精准伪装

Kimsuky的攻击不是“广撒网”，而是针对外交政策领域的“定制化骗局”，每封钓鱼邮件都像精心写的“外交剧本”：

伪装“外国顾问”要政策建议（2025年5月）：给某智库负责人发邮件，自称“某国外交政策顾问”，说“想请教您对朝鲜半岛最新局势的看法”，附件里藏着带恶意二维码的“问卷访问入口”，扫码看似要填调研表，实则跳转到盗号页面；

冒充“使馆职员”谈人权议题（2025年5月）：模仿某国使馆员工的邮箱，给智库资深研究员发消息，主题是“朝鲜人权问题研究合作”，说“有份敏感数据存放在安全云盘，扫码即可访问”，结果扫码后跳转到伪造的“安全登录页”；

假扮“智库同事”分享内部资料（2025年5月）：盗用某学术机构员工的身份，给同领域专家发邮件，说“刚整理好的朝鲜政策分析报告，扫码就能下载”，二维码背后却是Kimsuky的恶意服务器，一扫码就会泄露设备信息；

虚构“国际会议”骗注册信息（2025年6月）：给战略咨询公司发“会议邀请”，声称要开“朝鲜半岛安全论坛”，扫码可进入“注册页面”，点击“报名按钮”后会跳转到假谷歌登录页，输入账号密码就直接被黑客收走。

这些案例的共同点是：精准锁定“懂朝鲜、关外交”的人群，用对方熟悉的专业话题降低戒心，再用“二维码=安全/便捷”的认知误区设套——毕竟谁能想到，扫个码会和“间谍活动”挂钩？

 二、为什么二维码成了“黑客凶器”？3个隐蔽优势太坑人

Kimsuky放弃传统的钓鱼链接，转而用二维码，核心是抓准了“传统防御的盲区”，让攻击成功率翻倍：

绕开邮件安全防护：从电脑“转战”手机

传统钓鱼链接会被邮件系统的URL检测、沙箱分析拦截，但二维码是图片格式，邮件安全工具很难直接识别恶意。更狠的是，黑客会诱导受害者用手机扫码——毕竟“手机扫码更方便”，可一旦从公司电脑转到个人手机，就避开了企业终端的安全监控，相当于“从铜墙铁壁转到了无设防区域”。

精准收集设备信息：定制“盗号页面”

扫码后，黑客会先获取受害者的手机型号、系统版本、IP地址甚至屏幕尺寸，比如检测到是安卓手机，就推送适配安卓的假微软365登录页；检测到是苹果设备，就显示仿Okta或VPN的登录界面，让“伪装页面”看起来和真的一模一样，几乎没人会怀疑。

偷“会话令牌”绕开MFA：双因素认证也没用

最可怕的是，这类攻击不止偷密码。FBI发现，Kimsuky会通过扫码页面窃取用户的“会话令牌”——这相当于“已登录的临时凭证”，就算开启了双因素认证，黑客拿着令牌也能直接登录账号，还不会触发“MFA验证失败”的警报，等受害者发现时，邮箱、云端文件可能已经被偷光了。

 三、FBI教你防“Quishing”：这5招比装杀毒软件更有用

面对Kimsuky的二维码陷阱，FBI专门给出了“多层防御策略”，不管是个人还是机构，照着做就能大幅降低风险：

1. 任何陌生二维码，先“反向验证”

收到带二维码的邮件，别管发件人是谁，先通过官方渠道联系对方确认：比如自称“使馆职员”，就去使馆官网找公开电话打过去问；说是“智库同事”，就用企业微信/钉钉私聊核实——记住，“主动核实”比“被动扫码”安全10倍。

2. 手机别装“不明APP”，开启MDM防护

机构最好给员工手机装“移动设备管理（MDM）”软件，能自动分析二维码链接的安全性；个人用户扫码前，先看清楚跳转的网址：如果是“microsoft-verify-login.com”这类奇怪域名（真微软是“microsoft.com”），立刻关闭页面。

3. 给关键账号上“钓鱼 resistant MFA”

普通的短信验证码、谷歌验证器还不够安全，给工作邮箱、VPN账号开启“防钓鱼MFA”，比如硬件密钥（YubiKey）或生物识别（指纹/人脸），这类认证方式很难被黑客绕过，就算密码和令牌被偷，也能守住最后一道防线。

4. 扫码后的操作全“留痕”，定期查日志

要求员工扫码后，如果涉及登录、下载文件，必须记录时间和操作内容；IT部门要监控“异常登录”：比如员工平时在国内登录，突然出现境外IP扫码登录，或者手机和电脑同时登录同一个账号，立刻触发警报。

5. 别用“工作手机”扫私人二维码，反之亦然

把工作设备和私人设备分开：工作手机只扫公司官方二维码，私人手机别扫涉及工作的二维码，避免“私人设备被黑牵连工作数据”，或者“工作设备泄露个人信息”。

 四、延伸提醒：不止外交领域，普通人也要防“二维码诈骗”

虽然Kimsuky针对的是外交专家，但“Quishing”的思路已经扩散到普通诈骗——比如有人扫了“约炮APP”的二维码被骗近百万（2025年镇江案例），还有人扫“快递签收码”泄露银行卡信息。对普通人来说，记住这2条底线：

街头贴的“小卡片二维码”、短信里的“领奖/退款二维码”，绝对不扫；

扫码后要求输入银行卡号、身份证号、支付密码的，一律关闭页面，正规平台不会通过二维码要这些信息。

 结语：扫码前多等3秒，就是最好的防御

Kimsuky的二维码攻击，本质是利用了“人们对二维码的信任”和“对专业话题的放松警惕”。其实不管是外交专家还是普通用户，面对二维码时，只要多问自己3个问题：“谁发的？为什么要扫？扫了会怎样？” 就能避开80%的陷阱。

网络安全里，“谨慎”永远比“技术”更重要。尤其是涉及工作、敏感信息的操作，慢一点、多核实一步，就是对自己数据安全最大的保护。

加入知识星球，可获取权益

一、”全球高级持续威胁：网络世界的隐形战争”，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、为什么加入？

职场瓶颈期找不到突破方向？安全项目落地缺成熟方案？面对APT攻击、勒索病毒不知如何构建防御体系？

三、在这里，你能获得的不只是资料包，而是直接对接行业专家的「私人顾问服务」

✅ 职业发展「精准导航」

 1v1简历优化：针对安全岗（渗透测试/安全运营/合规等）拆解JD，突出核心竞争力；

 晋升避坑指南：从工程师到安全负责人，分享晋升路径，避开「技术强但管理弱」的晋升陷阱；

 技能栈规划：根据你的基础（应届生/3年经验/资深专家）定制学习路线，比如从0到1学SOC安全建设、APT威胁狩猎。

✅ 安全方案「对症开方」

 实战方案库：含医疗/制造业/等行业的勒索防御、数据安全合规、供应链安全加固方案（附落地工具清单+成本测算）；

 架构设计咨询：小到EDR选型，大到零信任体系搭建，提供「预算效果」平衡的最优解（已帮10+企业节省40%防护成本）。

✅ 圈子资源「直接对接」

 大厂安全负责人拆解真实案例（如某支付公司攻防对抗的实战复盘）；

四、适合谁？

 想突破职业天花板的安全工程师/架构师；

 需快速落地安全项目的企业负责人；

 关注行业动态的安全爱好者或IT从业人员。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：AI紫队安全研究 AI紫队安全研究 AI紫队安全研究《警惕！扫个二维码就被盗号？朝鲜Kimsuky用“Quishing”陷阱，专盯外交专家偷机密》