🗓️ Source : CyberProof Research Team (blog CyberProof), publié le 2 juin 2026. Auteur : Yevgeni Pak.

Contexte

L’équipe de threat hunting de CyberProof a identifié une campagne de phishing multi-étapes usurpant l’identité de PUMA Careers, ciblant des chercheurs d’emploi via des techniques de reconnaissance LinkedIn et d’ingénierie sociale assistée par IA. La détection initiale a été déclenchée par une anomalie comportementale : l’email de phishing s’adressait à la victime avec son identité LinkedIn publique, alors que le compte email utilisait un format de nom différent.

Déroulement de l’attaque

🎣 Étape 1 – Email de phishing initial

  • Email professionnel impersonant PUMA Careers, envoyé depuis careers@pumacareerorbit[.]com
  • Domaine enregistré 10 jours avant la détection, via le registrar Unstoppable Domains Inc
  • Hébergement Cloudflare, certificat TLS de courte durée (3 mois)
  • Leurre : offre d’emploi senior à distance, sans urgence ni menace, exploitant l’anxiété liée à l’emploi et à l’IA

🌐 Étape 2 – Portail secondaire de collecte

  • Redirection vers puma.candidatesessionportal[.]com (âge ~7 jours, registrar Gname[.]com Pte. Ltd, protégé par Cloudflare)
  • Faux portail carrières avec offres d’emploi fictives (“Remote Senior Social Media Manager”, “Remote Growth Marketing Manager”)
  • Interface moderne, responsive, fortement assistée ou générée par IA

🔑 Étape 3 – Collecte de credentials

  • Tous les chemins d’interaction (formulaires, login social, prise de rendez-vous) redirigent vers des flux de credential harvesting
  • Leurre principal : faux flux OAuth Facebook imitant Meta, avec fausses vérifications de sécurité, délais simulés, références à Arkose Labs et intégration hCaptcha

Caractéristiques techniques

  • Architecture frontend Bootstrap, structure JS/CSS modulaire et réutilisable
  • Scripts client-side : collecte FormData, fetch('captcha.php'), gestion de modales, redirections étagées
  • Commentaires en langue russe dans le code source (gestion captcha, soumission de formulaires, logique popup)
  • Infrastructure jetable, déployable rapidement, conçue pour le clonage de campagnes multi-marques
  • Séparation multi-domaines entre leurre et infrastructure de collecte

Manipulation psychologique

  • Exploitation de l’insécurité professionnelle et des craintes liées aux suppressions d’emplois et à l’IA
  • Absence volontaire d’urgence ou de menace pour réduire la résistance psychologique
  • Imitation fidèle des workflows de recrutement corporate et des expériences d’onboarding SaaS

📄 Type d’article : Publication de recherche / analyse technique. But principal : documenter et exposer une campagne de phishing active usurpant la marque PUMA, en détaillant l’infrastructure, les techniques et les mécanismes de manipulation employés.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1589.001 — Gather Victim Identity Information: Credentials (Reconnaissance)
  • T1593.001 — Search Open Websites/Domains: Social Media (Reconnaissance)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
  • T1656 — Impersonation (Defense Evasion)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)

IOC

🟢 Indice de vérification factuelle : 70/100 (haute)

  • ✅ cyberproof.com — source reconnue (Rösti community) (20pts)
  • ✅ 16705 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/2 IOCs confirmés externellement (0pts)
  • ✅ 10 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.cyberproof.com/blog/the-job-hunt-trap-unmasking-the-puma-careers-phishing-campaign/