Selon Help Net Security (15 janvier 2026), des chercheurs de Deakin University ont étudié l’usage de QR codes stylisés (couleurs, formes, logos, images de fond) dans les attaques de quishing et présentent une méthode de détection centrée sur la structure du code plutôt que sur l’URL embarquée.
Les QR codes masquent leur destination jusqu’au scan, ce qui contourne les passerelles e-mail qui inspectent les URL en clair. Les versions « fancy » brouillent en plus les repères visuels (modules arrondis/étirés, recolorés, logos centraux, arrière-plans), conservant une scannabilité élevée tout en perturbant les outils de détection existants.
Le paysage de la menace se renforce : des rapports industriels citent que 22% des attaques liées aux QR codes sont du quishing, et les attaquants utilisent des LLM pour produire des leurres plus convaincants. NordVPN signale que 73% des Américains scannent sans vérifier la destination, avec plus de 26 millions d’utilisateurs redirigés vers des sites malveillants. Des autorités comme la FTC (États-Unis) et le DOT de New York ont mis en garde après des QR codes frauduleux sur des horodateurs.
Côté acteurs de menace, le groupe Kimsuky (Corée du Nord) a intégré des QR codes malveillants dans des campagnes de spear-phishing redirigeant vers de fausses pages de connexion (Microsoft 365, Okta, portails VPN) pour voler identifiants et jetons de session. Des acteurs liés à la Russie ont mené des campagnes similaires contre des membres du Parlement britannique et leurs équipes.
Des chercheurs de Unit 42 (Palo Alto Networks) rapportent que ces attaques s’appuient sur des chaînes de redirection et des services web légitimes pour échapper aux contrôles e-mail, avec une détection encore plus difficile lors de scans sur mobiles. Pour y répondre, les chercheurs introduisent ALFA 🛡️, une approche « safe-by-design » qui évalue le QR code au moment du scan et signale les conceptions suspectes avant tout accès au contenu, ainsi que FAST 🧪, une méthode corrigeant les distorsions visuelles des QR décoratifs afin d’améliorer l’évaluation précoce. Validée sur un jeu varié de QR « fancy » et démontrée via une application mobile, la solution fonctionne aux côtés des lecteurs QR existants, sans les remplacer.
TTPs observés/rapportés
- Quishing via QR codes en e-mail et supports physiques (affiches, menus, factures, écrans de connexion)
- Stylisation du QR (couleurs, formes, logos, images de fond; modules arrondis/étirés) pour perturber la détection
- Chaînes de redirection et usage de services légitimes pour l’évasion des contrôles
- Pages de phishing imitant Microsoft 365, Okta, et portails VPN; vol d’identifiants et de jetons de session
- Usage de LLMs pour améliorer les textes d’appât; dépôt de QR frauduleux sur des infrastructures urbaines (horodateurs)
Aucun IOC spécifique n’est mentionné. Cet article relève d’une publication de recherche présentant une méthode de détection précoce alignée sur la conception et l’usage actuels des QR codes.
🧠 TTPs et IOCs détectés
TTP
[‘Quishing via QR codes en e-mail et supports physiques (affiches, menus, factures, écrans de connexion)’, ‘Stylisation du QR (couleurs, formes, logos, images de fond; modules arrondis/étirés) pour perturber la détection’, ‘Chaînes de redirection et usage de services légitimes pour l’évasion des contrôles’, ‘Pages de phishing imitant Microsoft 365, Okta, et portails VPN; vol d’identifiants et de jetons de session’, ‘Usage de LLMs pour améliorer les textes d’appât’, ‘Dépôt de QR frauduleux sur des infrastructures urbaines (horodateurs)’]
IOC
Aucun IOC spécifique n’est mentionné.
🔗 Source originale : https://www.helpnetsecurity.com/2026/01/15/fancy-qr-codes-phishing-risk/