Source: Socket (blog) — L’équipe de recherche a analysé 80 candidats ingénieurs frauduleux, dont des travailleurs IT nord-coréens présumés, révélant une campagne coordonnée ciblant les pipelines de recrutement des entreprises technologiques.

L’enquête met en évidence que le recrutement devient une fonction de sécurité à part entière, nécessitant une vérification multi-couches: validation de portefeuilles, analyse comportementale en entretien, et collaboration entre équipes Talent Acquisition et Sécurité, tout en préservant l’expérience candidat.

Côté technique, les analystes ont identifié des indicateurs de fraude récurrents:

  • CV générés par IA avec des métadonnées provenant de plateformes comme Enhancv et FlowCV.
  • Profils GitHub synthétiques avec peu ou pas de projets substantiels.
  • URLs LinkedIn malformées ou inexistantes.
  • Adresses email ne correspondant pas aux noms déclarés.
  • Usurpation de biographies de véritables ingénieurs.

L’équipe a mobilisé des techniques OSINT pour croiser profils publics, emplois revendiqués et historique de dépôts, mettant au jour des schémas systématiques cohérents avec des opérations étatiques organisées alignées sur les méthodes documentées des travailleurs IT nord-coréens.

IOCs et TTPs identifiés:

  • IOCs (indicateurs de fraude/personnels): métadonnées de CV (Enhancv/FlowCV), URLs LinkedIn invalides, emails-noms non concordants, dépôts GitHub à faible substance, biographies usurpées.
  • TTPs: création d’identités synthétiques, usurpation d’identité, ingénierie sociale via candidatures, usage d’outils IA pour générer des CV, infiltration des processus RH; OSINT comme méthode d’attribution et de corrélation.

Type d’article: analyse de menace visant à documenter la campagne, détailler les indicateurs techniques et fournir des pistes opérationnelles aux équipes RH et Sécurité.

🧠 TTPs et IOCs détectés

TTPs

création d’identités synthétiques, usurpation d’identité, ingénierie sociale via candidatures, usage d’outils IA pour générer des CV, infiltration des processus RH, OSINT comme méthode d’attribution et de corrélation

IOCs

métadonnées de CV (Enhancv/FlowCV), URLs LinkedIn invalides, emails-noms non concordants, dépôts GitHub à faible substance, biographies usurpées

🔗 Source originale : https://socket.dev/blog/fraudulent-engineering-candidates-investigation