🎯 Contexte
Article publié le 30 mars 2026 par Sublime Security (Brandon Murphy), dans le cadre de leur série « Attack Spotlight ». Il décrit une campagne de phishing de credentials en cours, usurpant l’identité de Google Careers, détectée sur les environnements Google Workspace et Microsoft 365.
📧 Mécanisme d’attaque
La campagne débute par un email imitant un recruteur Google Careers proposant un entretien. Le flux d’attaque est le suivant :
- Email d’hameçonnage avec bouton « Book a Call »
- Redirection vers une page Cloudflare Turnstile (réelle ou imitée) pour validation humaine
- Page de planification de réunion Google Careers falsifiée — collecte du nom, email et téléphone
- Page de faux login Google pour vol du mot de passe
🌍 Variations observées
- Langues : anglais, espagnol, suédois et autres
- Expéditeurs : domaines frauduleux (googleadjobhub[.]com, ggcareerslookup[.]com, jobnimbusmail[.]com) ou services légitimes compromis/abusés (Salesforce, Recruitee, Adecco, Muckrack, Feedzai)
- Domaines de payload : tous récemment enregistrés, principalement via NiceNIC et Porkbun
🛡️ Techniques d’évasion
- HTML word padding : les mots « Google Careers » sont fragmentés dans des balises
<label>ou<p>individuelles pour contourner les scanners de texte - Filtrage des emails personnels (non-business) dans le kit de phishing
⚙️ Infrastructure C2
Contrairement aux attaques AITM classiques, cette campagne utilise un serveur C2 dédié (notamment satoshicommands[.]com). Le kit de phishing communique via gw.php en JavaScript, avec des échanges aller-retour entre le navigateur de la victime et le backend de l’acteur.
📌 Type d’article
Analyse technique de campagne active, publiée par un éditeur de sécurité pour documenter les TTPs et IOCs d’une menace en cours d’évolution.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
- T1056.003 — Input Capture: Web Portal Capture (Collection)
- T1036 — Masquerading (Defense Evasion)
- T1583.001 — Acquire Infrastructure: Domains (Resource Development)
- T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
- T1027 — Obfuscated Files or Information (Defense Evasion)
IOC
- Domaines :
googleadjobhub.com— VT · URLhaus · ThreatFox - Domaines :
ggcareerslookup.com— VT · URLhaus · ThreatFox - Domaines :
jobnimbusmail.com— VT · URLhaus · ThreatFox - Domaines :
feedzai.com— VT · URLhaus · ThreatFox - Domaines :
apply.gcareersapplyway.com— VT · URLhaus · ThreatFox - Domaines :
hire.gteamshiftline.com— VT · URLhaus · ThreatFox - Domaines :
hire.gteamjobpath.com— VT · URLhaus · ThreatFox - Domaines :
hire.gteamcareers.com— VT · URLhaus · ThreatFox - Domaines :
recruit.gcareerspeople.com— VT · URLhaus · ThreatFox - Domaines :
recruit.gcareerscrewfind.com— VT · URLhaus · ThreatFox - Domaines :
recruit.gcareerscandidatelink.com— VT · URLhaus · ThreatFox - Domaines :
schedule.ggcareerslaunch.com— VT · URLhaus · ThreatFox - Domaines :
satoshicommands.com— VT · URLhaus · ThreatFox - Domaines :
apply.gcareerhub.com— VT · URLhaus · ThreatFox - URLs :
https://apply.gcareerhub.com/assets/js/main.js?v=24— URLhaus - Emails :
hire@googleadjobhub.com - Emails :
workforce@ggcareerslookup.com - Emails :
gemployment@jobnimbusmail.com - Emails :
goncalo.santos@feedzai.com
🟡 Indice de vérification factuelle : 50/100 (moyenne)
- ⬜ proxied2.sublime.security — source non référencée (0pts)
- ✅ 6368 chars — texte complet (fulltext extrait) (15pts)
- ✅ 19 IOCs (IPs/domaines/CVEs) (10pts)
- ⬜ 0/4 IOCs confirmés externellement (0pts)
- ✅ 8 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://proxied2.sublime.security/blog/google-careers-impersonation-credential-phishing-scam-with-endless-variation