🗓️ Contexte
Article publié le 24 mai 2026 sur le blog personnel de Jai Minton (jaiminton.com), basé sur des observations personnelles et le témoignage d’un tiers (Minh Tran). L’auteur analyse une campagne de phishing ciblant des professionnels tech en période de vagues de licenciements massifs (114 000 employés licenciés dans 150 organisations en 2026 selon layoffs.fyi).
🎯 Mécanisme d’attaque
Les acteurs malveillants exploitent LinkedIn pour :
- Identifier des recruteurs légitimes et les usurper via des comptes Gmail fraîchement créés
- Scraper les profils publics des victimes pour personnaliser les leurres
- Utiliser ChatGPT (identifié via les paramètres UTM
utm_source=chatgptdans les liens) pour générer des emails professionnels et convaincants - Intégrer des tracking pixels (via le service Blinq) pour détecter l’ouverture des emails
- Créer de fausses cartes de visite numériques via le service Blinq pour imiter les recruteurs
📧 Indicateurs comportementaux
- Utilisation caractéristique du tiret cadratin (em dash) dans les emails, signature typique des LLM
- Branding légitime d’entreprises réelles (dont Palo Alto Networks, signalé dès le 24 mars 2026)
- Demande de CV comme vecteur de collecte d’informations et d’arnaque financière (prétexte de « correction de CV payante »)
- Liens vers de vraies offres d’emploi (ex: Goldman Sachs) avec paramètres UTM révélant l’usage de ChatGPT
- Changement de signature entre emails (
Kind regards→Warm regards) et multiplication des opportunités proposées
🏢 Contexte sectoriel
La campagne cible principalement les professionnels de la tech en recherche d’emploi. Palo Alto Networks a documenté une campagne similaire d’usurpation de ses propres recruteurs dès le 24 mars 2026.
📌 Nature de l’article
Il s’agit d’une analyse de menace basée sur des preuves directes (emails reçus, échanges avec l’acteur malveillant), visant à documenter et diffuser les TTPs d’une campagne de phishing active exploitant l’IA générative.
🧠 TTPs et IOCs détectés
TTP
- T1566.002 — Phishing: Spearphishing Link (Initial Access)
- T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
- T1585.001 — Establish Accounts: Social Media Accounts (Resource Development)
- T1585.002 — Establish Accounts: Email Accounts (Resource Development)
- T1591.001 — Gather Victim Org Information: Determine Physical Locations (Reconnaissance)
- T1593.001 — Search Open Websites/Domains: Social Media (Reconnaissance)
- T1656 — Impersonation (Defense Evasion)
IOC
🟡 Indice de vérification factuelle : 46/100 (moyenne)
- ⬜ jaiminton.com — source non référencée (0pts)
- ✅ 7332 chars — texte complet (fulltext extrait) (15pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ 0/1 IOCs confirmés externellement (0pts)
- ✅ 7 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
🔗 Source originale : https://www.jaiminton.com/internal-blog/fake-recruiter-phishing#