https://cyberveille.ch/tags/rpdc/ Recent content in RPDC on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-famous-chollima-abuse-google-docs-pour-des-leurres-d-emploi-et-le-recrutement-de-facilitateurs/ Sun, 21 Jun 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-06-21-famous-chollima-abuse-google-docs-pour-des-leurres-d-emploi-et-le-recrutement-de-facilitateurs/ <h2 id="-contexte">🌐 Contexte</h2> <p>Article de recherche publié le 10 juin 2026 sur kmsec.uk par Kieran Miyamoto, chercheur indépendant en cybersécurité. L&rsquo;article documente l&rsquo;utilisation de <strong>Google Docs</strong> par l&rsquo;acteur <strong>FAMOUS CHOLLIMA</strong> (nexus RPDC) pour mener deux campagnes distinctes mais liées.</p> <h2 id="-campagnes-identifiées">🎯 Campagnes identifiées</h2> <p>FAMOUS CHOLLIMA opère deux campagnes thématiquement similaires :</p> <ul> <li><strong>Contagious Interview (aka DevPopper)</strong> : fausses offres d&rsquo;emploi ciblant des développeurs, avec des tâches de codage hébergées sur Bitbucket/GitHub menant à une chaîne d&rsquo;infection multi-étapes déployant des <strong>infostealers</strong> (OtterCookie, InvisibleFerret) pour vider des portefeuilles de cryptomonnaies.</li> <li><strong>IT Worker scheme (aka WageMole)</strong> : recrutement de « proxy interviewees », des personnes conduisant des entretiens d&rsquo;embauche à la place d&rsquo;opérateurs FAMOUS CHOLLIMA pour faciliter l&rsquo;infiltration d&rsquo;entreprises.</li> </ul> <h2 id="-preuve-de-réutilisation-dactifs-entre-campagnes">🔗 Preuve de réutilisation d&rsquo;actifs entre campagnes</h2> <p>Un élément clé de l&rsquo;analyse est la <strong>réutilisation d&rsquo;une image bannière non-standard</strong> (hash <code>de7f4a6cc9faa9e8cd165e77963b278f9c377978b1b4a0be58e41b4b1f4a525b</code>) entre :</p>