Campagne de Phishing par code QR sur le thème des primes RH, exploitant les processus de fin d'année des entreprises
21 novembre 2025
Abonnez-vous pour recevoir des notifications relatives aux menaces
- Type de menace : Collecte d'identifiants par Phishing via un code QR
- Marques imitées : DocuSign, services des ressources humaines des entreprises
- Vecteur principal : des comptes de messagerie piratés envoyant des pièces jointes au format PDF contenant des codes QR intégrés
Présentation de la campagne
L'équipe de recherche sur les menaces de Mimecast a identifié une campagne active de collecte d'identifiants qui exploite des comptes de messagerie piratés pour diffuser des messages de Phishing sur le thème des ressources humaines, en se faisant passer pour DocuSign et les services RH de certaines entreprises. Cette campagne témoigne d'une grande maturité opérationnelle, comme en témoignent l'utilisation de comptes piratés répartis géographiquement, le filtrage des appareils mobiles et les techniques de contournement des CAPTCHA visant à échapper à la détection.
Mise en œuvre en temps opportun des processus opérationnels de fin d'année
Cette campagne est particulièrement préoccupante en raison de son timing stratégique et de l'exploitation qu'elle fait des processus opérationnels légitimes. Alors que les entreprises entament le dernier trimestre de l'année, les services des ressources humaines de tous les secteurs lancent généralement les procédures d'attribution des primes, d'évaluation des performances de fin d'année et d'adhésion aux régimes d'avantages sociaux. Les salariés s'attendent à recevoir des communications légitimes concernant leur rémunération, ce qui les rend plus vulnérables aux tentatives de Phishing liées aux ressources humaines. Les cybercriminels ont exploité cette attente en rédigeant des messages convaincants qui s'inscrivent dans le cadre des activités habituelles de fin d'année au sein des entreprises. Le caractère urgent que suggèrent des objets d'e-mail tels que « "Finissons l'année en beauté – Remplissez votre formulaire de prime ! »" exploite à la fois le caractère urgent des procédures de fin d'année et l'intérêt financier des salariés pour les informations relatives aux primes. Cette manipulation psychologique augmente considérablement le risque que les utilisateurs interagissent avec des contenus malveillants.
Chaîne d'attaques
La campagne s'articule autour d'un processus en plusieurs étapes :
- 1. Envoi initial : les e-mails proviennent de comptes piratés et utilisent principalement des adresses d'expéditeur associées à des services légitimes et à des domaines d'entreprise
- 2. Ingénierie sociale : des messages se font passer pour des communications des RH concernant des formulaires de prime ou des documents de fin d'année
- 3. Pièce jointe au format PDF : L'e-mail contient une pièce jointe au format PDF sur laquelle figurent le logo et l'identité visuelle du service des ressources humaines de l'entreprise ciblée, afin d'en renforcer la légitimité
- 4. Redirection via un code QR : Le fichier PDF contient un code QR qui redirige les utilisateurs vers un portail destiné à la collecte d'identifiants
- 5. Ciblage des appareils mobiles : Certaines variantes ont recours à un filtrage pour s'assurer que les connexions proviennent d'appareils mobiles, sur lesquels les contrôles de sécurité peuvent être moins rigoureux
- 6. Collecte d'identifiants : les utilisateurs sont redirigés vers une fausse page d'authentification conçue pour récupérer leurs identifiants d'entreprise
Vous trouverez ci-dessous quelques-uns des exemples recensés
Une fois que l'utilisateur a scanné le code QR avec son appareil mobile, il est redirigé vers une étape de vérification manuelle afin de garantir la légitimité de l'opération.
Les utilisateurs sont ensuite invités à saisir leurs identifiants
Infrastructure technique
L'analyse d'une variante de l'infrastructure back-end de la campagne a permis de mettre au jour un mécanisme de collecte d'identifiants. Les pages de Phishing utilisent une technique de collecte de données basée sur JavaScript présentant les caractéristiques suivantes :
- Tentatives de soumission multiples : le script autorise jusqu'à trois tentatives d'authentification infructueuses avant de rediriger l'utilisateur vers un portail Microsoft Office valide, donnant ainsi l'impression d'un problème de service temporaire
- Gestion des erreurs : met en œuvre une validation de base afin de s'assurer que les utilisateurs saisissent leurs identifiants avant de poursuivre
- Exfiltration de données : les identifiants capturés sont transmis via une requête POST vers une infrastructure contrôlée par le pirate à l'adresse https://jafaclink.net/nbm/sharethepoint/point/res.php
- Techniques de contournement : Certaines variantes utilisent des tests CAPTCHA spécialement conçus pour contourner les outils automatisés d'analyse de sécurité
Protection Mimecast
L'équipe de recherche sur les menaces de Mimecast a développé et déployé des règles de détection afin d'identifier et de bloquer cette campagne. Nous continuons à surveiller cette opération malveillante afin de détecter toute évolution tactique et tout changement au niveau de son infrastructure.
Objectifs
Organisations internationales
Indicateurs de compromission (IOC)
Recommandations
Formation de sensibilisation des utilisateurs :
- Sensibilisez les utilisateurs à la nécessité de vérifier les messages trompeurs portant sur les ressources humaines et les primes, plutôt que de scanner les codes QR
- Sensibilisez les utilisateurs aux risques liés à la lecture de codes QR provenant de sources inattendues, notamment dans les pièces jointes aux e-mails
- Formez les utilisateurs à faire preuve d'une vigilance accrue lorsqu'ils consultent des contenus professionnels sur des appareils mobiles, où les indicateurs de sécurité peuvent être moins visibles
- Réaliser des simulations de Phishing intégrant des scénarios impliquant des codes QR
Recherche de menaces :
- Recherchez dans les journaux des e-mails de confirmation et les journaux d'URL les indicateurs techniques associés à ces campagnes
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!