Klicksidor med AI-genererade bilder och historier har fått stor spridning under sommaren. Källkritikbyråns Jonathan Lundberg visar hur han spårade de virala bilderna – och hittade mannen bakom bluffen.

Den 10 augusti blev ett svenskt inlägg viralt på Facebook, mer viralt än vad svenska inlägg blir på Facebook nuförtiden. En bild som föreställde en rödgråten sjuksköterska, med en text som inleddes:

“Jag heter Inês. Jag är sjuksköterska. Och idag grät jag i korridoren. Ingen såg det. Ingen frågade hur jag mådde.”

Under dagen hade hon vakat bredvid två döende patienter. Men när hon själv behövde stöd fanns det ingen där.

Inlägget har hittills fått över 65 000 reaktioner och över 13 000 välmenande kommentarer, i stil med:

“Hej fina Inês. Du är en ängel som ger allt av dig själv. Det skulle finnas fler som du, en stor varm kram till dig.”

Problemet?

Bilden på Inês är AI-genererad – och bakom inlägget står en vietnamesisk klickbetesfabrik.

Hur vet vi det?

För dig som vill lära dig mer om hur man spårar bilder och ledtrådar i sociala medier så går vi här igenom hur vi gjort – en resa där vi var nära att ge upp, men i stället hittade spindeln i det Facebook-nätverk som börjat sprida bluffnyheter på svenska under sommaren.

Låt oss ta det hela från början.

Själva bilden

Att det var en AI-bild borde egentligen inte undgått någon. Om inte för att den “såg AI-genererad ut” så för att det nere i det högra hörnet – förvisso i litet typsnitt – stod “Imagem gerada por AI”. På portugisiska betyder det “Bilden genererad via AI”.

Detta kallas för en vattenstämpel, och är något som många AI-verktyg börjat tillfoga sina skapelser. Ibland klipper bluffmakare bort den, men i det här fallet har den av någon anledning lämnats kvar.

Facebook-sidan som lade upp historien heter “Sverige Direkt”, och skapades i mitten av juli. Sedan dess har den redan hunnit lägga ut flera AI-bluffar, som fått tiotusentals interaktioner vardera.

En brandman i en sjukhussäng – med uniformen på och svenska flaggan fäst på armen, för tydlighetens skull. Runt honom står en kvinna ihop med tre gråtande barn. Texten inleds:

“Lämna ett hjärta för Antonio och alla som är beredda att offra sig för vår säkerhet.”

17 000 reaktioner, 2 000 kommentarer.

Två unga män i militäruniformer, även de med svenska flaggor på ärmarna, bakom en äldre man redo att blåsa ut ljusen på sin födelsedagstårta:

“Vi har inga föräldrar – men vi har världens bästa farfar.”

Nära 30 000 reaktioner, 8 000 kommentarer.

En leende man i reflexkläder, ståendes framför en städbil, med armen runt en ung kvinna:

“Jag var rädd att min dotter skulle skämmas när hon såg sin pappa städa gatorna… Men idag fick hon mig att gråta mitt på gatan.”

Över 31 000 reaktioner, 2 000 kommentarer.

Klicksajt bakom

Alltihop är påhittat – men till vilken nytta? Nedanför varje inlägg, i kommentarsfältet, finns svaret. Där länkar Sverige Direkt till en “nyhetssajt” – Dailyinusa.com.

Där kan de som engagerats av historien läsa mer. När de klickar in, möts de av en sajt sprängfylld av annonser – och varje gång någon ser dem så får bluffmakaren betalt.

Jag börjar undersöka Sverige Direkt och letar efter ledtrådar kring vem som kan ligga bakom sidan. Vi vet att vattenstämpeln på Inês-bilden var skriven på portugisiska. En omvänd bildsökning visar att den här historien spreds i Portugal redan i juni.

Klickar man på Sverige Direkts “om oss”-flik finner man två nya spår, som pekar i andra riktningar. Ett amerikanskt telefonnummer, som sidan registrerats med. Och en mejladress registrerad på en vietnamesisk domän:

news@embers.vn

Jag söker på domänen – “@embers.vn” – i Facebooks sökfält för att hitta sidor som registrerats med mejladresser som har samma ändelse.

Det visar sig vara en fullträff. Ut trillar ytterligare fyra svenska sidor:

Nyhetsflöde Sverige (registrerad 16 juli, 10 000 följare)

Svenska Nyheter Idag (registrerad 16 juli, 10 000 följare)

Snabba Nyheter Sverige (registrerad 18 juli, 7 700 följare)

Dagens Sverige (registrerad 29 juli, 4 100 följare)

Dels är de identiska till utformningen – men en annan intressant detalj är att flera av dem kör annonser, vilket går att se i Facebooks annonsbibliotek.

Det kan vara en bild på den svenska flaggan, ihop med texten: “Om du fortfarande är lojal mot den här flaggan – tryck på tummen nedan”. Eller en hundvalp och: “Om du älskar hundar – tryck gilla”.

Dessa har betalats för av en fransk chokladproducent.

Källkritikbyrån har tidigare rapporterat om hur hackade konton används för att köpa annonser, som då frånkopplas dem som egentligen ligger bakom upplägget. Det är troligt att chokladföretaget blivit utsatt för detta – men vi har inte fått kontakt med dem.

Nätverk av sidor

Utöver de svenska Facebook-sidorna avslöjar sökningen åtminstone tjugosex utländska sidor med likartat innehåll – även de registrerade sedan juli 2025 med en “@embers.vn”-mejladress. Dessa sprider klickbeten på danska, tjeckiska, franska, turkiska och engelska.

På en av de engelska sidorna förekommer inlägg starkt för och starkt emot Trump om varandra – ett sätt att väcka engagemang från båda politiska lägren, som i sin tur kan kanaliseras till klick och annonspengar.

Här kör jag dock fast. Varje Facebook-sida är knuten till en unik mejladress, och de har alla registrerats med tillfälliga telefonnummer utspridda över världen.

När jag undersöker “nyhetssajterna” som nätverket använder sig av hittar jag inte heller där några fler ledtrådar till vem som kan ligga bakom dem. De tycks både nyskapade och barskrapade.

Under huven på sidan

Här är jag – efter att ha knackat på alla de stenar jag tycker mig se i detta murbygge – på väg att ge upp, och avsluta artikeln. Men i ett sista försök hör jag av mig till it-säkerhetsexperten Karl Emil Nikka. Finns det någonting i mitt material som jag missat, någonting som skulle kunna leda vidare?

“Har du kollat hemsidornas REST API?”, frågar Nikka.

“Nej”, säger jag. “Det vet jag inte vad det är.”

REST API, förklarar han, är ett sätt att “öppna motorhuven” på en hemsida. Via en skärm som ser ut som ett programmeringsfönster kan du ställa frågor till sajten – och därigenom hitta offentlig information som inte syns utåt, och som skaparna därför glömt att städa undan.

Exempelvis vem som är administratör för en sajt.

Medan vi pratar klickar Nikka upp “nyhetssajterna” som vi hittat. Via REST API söker han efter administratörkontots namn – och får en träff. Först på den ena hemsidan. Sedan samma namn på den andra. Och återigen på den tredje.

Hupchao. Det är smeknamnet administratören valt. Dessutom finns det en bild kopplad till dennes profil: ett tecknat bi som flyger uppåt.

Söker man på “hupchao” admin via DuckDuckGo – en sökmotor med mindre kurerade resultat än Googles – fylls skärmen av intressanta träffar. Nyhetssajter närmast identiska med dem vi hittat, fyllda av klickbeten och annonser, även de skapade av en administratör som kallar sig Hupchao.

Sajterna sträcker sig många år tillbaka i tiden. Vissa sysslar med nöjesnyheter. Andra med politik. Ytterligare andra varnar för dödliga virussjukdomar och annalkande katastrofer.

Den gemensamma nämnaren är att de tycks noggrant utmejslade för att maximera engagemang i sociala medier.

Nytändning med AI

Det finns en skillnad. De nyskapade sidorna är tydligt utformade av AI.

Klickar man på den integritetspolicy som alla hemsidor måste ha står det till och med “Suggested text” framför varje stycke (på svenska “förslag till text”). Alltså, man har sannolikt bett en AI-modell att skriva texten, och fått ett svar som inletts med dessa två ord.

På de äldre hemsidorna ser texten betydligt troligare ut att vara skriven för hand av en människa. Och där återkommer en formulering, om ett företag som friskriver sig från ansvar.

En vietnamesisk reklambyrå vid namn BeeUp.

BeeUp, visar det sig, är ett företag baserat i huvudstaden Hanoi, specialiserat på viral marknadsföring. Det innebär att de hjälper andra att synas på sociala medier – exempelvis genom sitt globala nätverk av Facebook-sidor. På sin hemsida påstår de sig ha 1 688 sidor och 368 grupper på plattformen, med totalt tio miljoner följare.

Bakom dessa sidor står – av företagets egna bilder att döma – ett trettiotal unga vietnameser som vid sidan om jobbet gillar att dricka öl, hänga på stranden och spela fotboll ihop.

Längst upp på sajten ligger BeeUps logotyp. Ett bi, som flyger uppåt. Hupchaos profilbild.

Sista steget

Så vem är denne Hupchao? I min research har jag snubblat över ett blogginlägg från 2014, skrivet av en person med detta alias. Det kan förstås vara någon helt annan – men det känns åtminstone som ett spår hett nog för att följa.

Vad jag förstår är detta en privat teknikblogg, skapad före BeeUps tid. I just det här inlägget tipsar Hupchao om ett antivirus-program. I en av skärmdumparna där han visar läsarna hur de installerar programmet, syns en mejladress.

Jag använder verktyget OSINT Industries, en sajt som kan hitta sociala medier-konton kopplade till uppgifter som de registrerats med. När jag skriver in mejladressen där exploderar skärmen av resultat. Mängder av privata konton, kopplade till en person vid namn Ngo Dang Hung.

Det vet jag vem det är. Så heter nämligen BeeUps vd.

Jag skickar över mina fynd till it-säkerhetsexperten Karl Emil Nikka. Ser han några brister i beviskedjan – eller något sätt att styrka den ytterligare? Jo, menar Nikka. Kedjan håller, men inte bara det. Med denna nya information går kopplingen mellan företagsledaren Hung och klickbetesskaparen Hupchao att kryptografiskt bevisa.

När Nikka grävde fram Hupchaos administratörskonto fann han också en krypterad mejladress i form av en “hashkod”. I sig själv är den intetsägande – det går inte att återvandla den här koden till sin originaltext. Vad man däremot kan göra är att använda samma krypteringsmetod på en annan mejladress. Om den då genererar samma kod vet man säkert att det är samma adress.

Tills nu hade det inte varit möjligt. Då hade vi behövt testa alla världens mejladresser mot Hupchaos hashkod för att hitta en matchning. Men nu behöver vi bara testa Ngo Dang Hungs privata mejl. Och när vi gör det visar det sig att de två koderna är identiska.

Annorlunda uttryckt: det är utan tvivel Ngo Dang Hungs mejladress som använts för att skapa de klickbetessidor som vi undersökt.

Inga kommentarer

Varken Ngo Dang Hung eller BeeUp har besvarat våra kontaktförsök. Vad vi däremot vet, är att företaget fortfarande är aktivt. På en vietnamesisk rekryteringssajt annonserar de ut en ny tjänst, med deadline för ansökan den 31 augusti:

Content Creator (Facebook Traffic)

De sökande förväntas ha universitetsutbildning, ett till två års erfarenhet av att jobba med Facebook-sidor, och “bemästra AI-prompting”. Anställs de kan de vänta sig en lön på åtta till tolv miljoner dong i månaden, vilket motsvarar 3 000–4 000 kronor. Det kan låta lågt, men är faktiskt en bra bit över en vietnamesisk snittlön.

Enligt Craig Silverman, en kanadensisk journalist med lång erfarenhet av att bevaka “klickbetesfabriker” som BeeUp, är detta nyckeln till att förstå fenomenet.

Dagen då vi bokar vår intervju, den 21 augusti, har han just publicerat en stor granskning av ett vietnamesiskt nätverk nästan identiskt med det jag undersökt. I detta ingick över hundra Facebook-sidor som producerade “AI-slop” – det engelska ordet för den här typen av AI-genererat struntinnehåll.

– Vi ser en oerhörd mängd komma från just Vietnam, men även Indien, Bangladesh, Pakistan. Kort sagt, ställen där ett par hundra dollar räcker för att leva på, säger Silverman.

Det krävs många klick för att tjäna pengar, menar han. Det innebär att den som bor i västvärlden kanske inte tycker att arbetet är mödan värt. I Sydostasien, däremot, kan det vara mer än vad föräldrarna någonsin tjänat.

Han blir inte heller förvånad över att BeeUp är så öppna som de är med sin affärsmodell.

– Jag tror att många ser det som att “de får plattformarna att jobba åt dem”. Så där behöver inte finnas ett socialt stigma, även om jobbet kan innebära att luras och bedra. Det kan rentav finnas en viss stolthet, i att man lyckas överlista och mjölka pengar ur ett så stort företag som Meta.

För Meta har policyer mot vilseledande innehåll – men verkställer dem sällan. Särskilt sedan januari i år, då stora delar av modereringsteamen skars ner, och faktagranskningsprogram avvecklades.

Enligt branschanalytiker är det ett strategiskt närmande till Trump och republikanerna i USA, som menat att moderering av sociala medier inneburit en censur av högerröster. Sedan dess, menar Craig Silverman, tycks mängden “AI-slop” ha exploderat.

– Till en viss gräns har vi förstås alla ett ansvar. Det behöver vara allmänt känt att det finns en global industri av företag och individer, vars dagliga nio-till-fem-arbete går ut på att vilseleda oss. Det innebär att vi måste förhålla oss allt försiktigare till vad vi tror på. Å andra sidan vore det fel att säga att dessa massiva multimiljardföretag inte också har ett tungt ansvar. Det minsta de kan göra, är att verkställa de policyer som de redan har, säger Silverman.

Källkritikbyrån har sökt Meta som inte har besvarat vår intervjuförfrågan.

LÄS MER:
► Guide: Den äldre damen och tårtan – så undersöker du en Facebook-sida
► Varför låtsas någon på Twitter vara en lunchrestaurang i Falun?
► Deepfakes, chockbesked och bilder på blåslagna kändisar – så jobbar bedragarna

---

Har du tips om saker du vill att vi ska granska så hör av dig!

Källkritikbyrån samarbetar med Facebook som tredjepartsfaktagranskare och därmed kan du ha sett våra artiklar kopplade till spridda länkar eller bilder på Facebook och Instagram. Vill du veta mer om det samarbetet så läs här och här kan du läsa mer om vår journalistik och arbetssätt!