Une campagne axée sur les ressources humaines passe des certifications aux outils de gestion des ressources humaines (RMM)
17 octobre 2025
Par l'équipe de recherche sur les menaces de Mimecast
- Opération de collecte d'identifiants menée depuis longtemps par MCTO3022 et ciblant des organisations en usurpant l'identité du service des ressources humaines
- Les campagnes s'appuient sur les exigences de conformité du règlement intérieur et les demandes d'autorisation de paie
- Les dernières évolutions de la campagne incluent une attaque par usurpation d'identité via Adobe PDF Sign, qui déploie les outils PDQConnect RMM au lieu de recourir aux méthodes traditionnelles de collecte d'identifiants
- Ces opérations mettent en œuvre des techniques sophistiquées d'ingénierie sociale, associant de fausses offres d'emploi à des appâts liés à la conformité dans de nombreux secteurs d'activité
Présentation de la campagne
L'équipe Mimecast Threat Research continue de surveiller la campagne de collecte d'identifiants menée par MCTO3022, qui cible systématiquement des organisations en se faisant passer pour le service des ressources humaines. Cette opération de longue haleine associe les stratagèmes traditionnels visant à faire respecter le règlement intérieur à des mécanismes sophistiqués d'autorisation des paies, ce qui témoigne d'une grande maturité opérationnelle et d'une grande capacité d'adaptation tactique sur des périodes de campagne prolongées. Les opérations axées sur les ressources humaines portent généralement sur la mise à jour du règlement intérieur et les exigences de conformité, en s'appuyant sur les politiques de l'entreprise qui imposent aux salariés de prendre connaissance des communications des RH.
Ces campagnes tirent parti du caractère routinier des procédures de conformité en matière de ressources humaines, en faisant passer des communications malveillantes pour des opérations professionnelles courantes que les salariés sont censés effectuer sans délai. Le MCTO3022 fait preuve de capacités de contournement grâce à une utilisation abusive stratégique de services légitimes, notamment des domaines SharePoint pour l'hébergement initial d'URL et les plateformes de sondages Mailchimp pour la collecte d'identifiants. Cette approche axée sur l'infrastructure permet à l'acteur malveillant de tirer parti de la confiance et de la fiabilité associées aux plateformes professionnelles bien établies, tout en conservant une flexibilité opérationnelle grâce à un renouvellement rapide des noms de domaine et à un changement fréquent de services.
La portée de cette opération va au-delà de la collecte traditionnelle d'identifiants et inclut des activités de reconnaissance axées sur le recrutement, dans le cadre desquelles de faux postes de représentants régionaux sont proposés afin de recueillir des informations détaillées sur les candidats. Cette approche à double objectif laisse supposer l'existence de capacités sophistiquées de collecte de renseignements, conçues pour faciliter à la fois le vol immédiat d'identifiants et des activités de reconnaissance organisationnelle à plus long terme.
Dernière évolution de la campagne : déploiement de PDQConnect RMM
Les activités récentes de cette campagne montrent que le groupe MCTO3022 a évolué au-delà de la collecte traditionnelle d'identifiants pour déployer des outils de surveillance et de gestion à distance (RMM), notamment PDQConnect, par le biais de ses leurres bien rodés consistant en des autorisations de paie au format Adobe PDF Sign. Ce changement de stratégie témoigne d'une escalade significative des capacités de l'acteur malveillant, qui passe du vol d'identifiants à la mise en place d'un accès à distance persistant.
Cette évolution s'inscrit dans le cadre de tendances plus générales du secteur, où les acteurs malveillants exploitent de plus en plus les outils RMM légitimes pour s'assurer un accès persistant tout en échappant aux systèmes traditionnels de détection des malware. PDQConnect, en tant qu'outil de gestion à distance légitime, contourne souvent les contrôles de sécurité axés sur la détection des signatures de malware traditionnels. Cette approche permet à MCTO3022 de conserver un accès à long terme aux systèmes compromis, ce qui peut faciliter l'exfiltration de données, les mouvements latéraux et le déploiement d'outils malveillants supplémentaires.
Protection Mimecast
Mimecast a mis en place des capacités de détection renforcées ciblant les tactiques spécifiques de MCTO3022, notamment l'analyse des schémas d'ingénierie sociale liés aux ressources humaines.
Objectifs
Plusieurs secteurs d'activité, principalement aux États-Unis et au Royaume-Uni
Indicateurs de compromission (IOC)
Hébergement de domaines :
- go[.]pardot[.]com
- fwtrack[.]dataprivacycrm[.]com
- fwtrack[.]hrcommcenter[.]com
- fwtrack[.]crmhrnotice[.]com
- fwtrack[.]strykler[.]com
- fwtrack[.]hrevalutions[.]com
Modèles courants d'objet d'e-mail :
- IMPORTANT : Manuel de l'employé révisé 2024 : tâche obligatoire
- Rappel : période d'adhésion aux avantages sociaux annuels !
- Politique relative à la protection des données et à la confidentialité des salariés : prise de connaissance obligatoire
- Demande des RH : signature requise pour la politique relative au code de conduite professionnelle
- Calendrier des formations obligatoires pour l'ensemble du personnel de l'AP
- IMPORTANT : Guide de l'employé - Révisé le 30 juillet
Mesures à prendre immédiatement :
- Sensibilisez les utilisateurs aux techniques sophistiquées d'usurpation d'identité au nom des RH, en soulignant que les communications légitimes des RH n'exigent généralement pas de cliquer immédiatement sur un lien externe ni de télécharger un logiciel.
- Réalisez des simulations de Phishing intégrant des scénarios tirés du règlement intérieur et des autorisations de paie, avec des messages urgents et des demandes d'installation d'outils de gestion à distance (RMM)
- Formez le personnel à vérifier les communications inhabituelles émanant des ressources humaines en prenant directement contact avec les services des ressources humaines par les moyens de communication officiels
- Insistez sur l'importance de signaler toute communication relative à une offre d'emploi suspecte qui demanderait des informations personnelles détaillées ou l'installation d'un logiciel
Recherche de menaces :
- Recherchez dans les journaux des e-mails reçus et les journaux d'URL les indicateurs techniques associés à ces campagnes.
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!