安全顾问公司研究人员指出，近期观察到一波实际流入收件箱的钓鱼邮件活动，这些邮件并未以图片形式嵌入二维码，而是使用HTML表格的单元格逐个指定黑白背景色，在邮件正文中绘制可扫描的二维码图案。由于许多邮件安全产品对二维码的检测与解析长期以图像内容为主要分析对象，这种无需图像的二维码呈现方式有机会降低现有检测规则的命中率，成为二维码钓鱼的另一种绕过手段。

研究人员分析指出，恶意使用二维码在实体场景和电子邮件中早已常见，扫描后跳转至钓鱼页面的效果与点击网址链接并无区别。随着安全厂商陆续强化对邮件中二维码图像的检测与分析，攻击者也持续寻找替代呈现方式，试图避开以图片为核心的传统检测流程。

所获取的样本邮件发送时间集中在2025年12月22日至26日，版面设计相对简单，通常仅包含数行文字和一个居中的二维码图案。从用户视角来看，邮件中的二维码外观与常见图片相近，仅略显压缩，但实际上并未包含任何图像文件或内嵌图片，而是由大量表格行与单元格组成，每个单元格通过HTML属性指定黑色或白色背景，逐点拼接成二维码矩阵。研究人员指出，这种以表格形式呈现二维码的技术并非新发明，但过去较少为人所知。

二维码所编码的链接均指向同一恶意域名下的不同子域名。研究人员表示，最早的一个样本使用看似云存储服务相关的子域名，其余样本的链接结构则更具定制化特征，会将收件人邮箱的域名、十进制或十六进制字符串，以及随机路径片段组合进网址中，并在末尾附加收件人的邮箱信息。

研究人员强调，该案例提醒防御方，部分技术控制仍可能隐含对恶意内容呈现方式的预设假设，例如将二维码主要视为图像内容进行处理。当攻击者改用纯HTML结构在邮件正文中重建图像图案时，既有检测流程就可能出现防御盲区。