Un nouveau type d’arnaque vise actuellement les professionnels du recrutement sur LinkedIn et Indeed. Derrière des profils de candidats qui semblent tout à fait ordinaires se cache le groupe cybercriminel FIN6. Son but : gagner la confiance des recruteurs, infiltrer les systèmes informatiques des entreprises et installer des logiciels malveillants à visée financière.

Recruteurs, prenez garde. Dans un rapport publié le 10 juin 2025, la société de cybersécurité DomainTools alerte sur l’existence d’une campagne d’arnaque sur LinkedIn et Indeed qui les vise. Particulièrement sophistiqués, ces pièges sont menés par le groupe cybercriminel FIN6, également connu sous le nom de Skeleton Spider.

Finis les e-mails de phishing grossiers : cette fois, les attaquants se glissent dans la peau de candidats idéaux, peaufinant chaque détail de leur profil pour inspirer confiance. Leur objectif ? Piéger les professionnels du recrutement et infiltrer les systèmes d’entreprise, dans une logique purement financière.

Exemple de message envoyé à un recruteur
Les messages envoyés par les faux candidats contiennent des liens non cliquables. // Source : capture d’écran

L’ingénierie sociale au cœur de l’arnaque

La technique déployée par FIN6 est redoutable. Plutôt que de s’attaquer aux services informatiques ou aux dirigeants, les cybercriminels s’en prennent aux équipes RH, souvent moins sensibilisées aux menaces cyber. Tout commence par un contact apparemment anodin : un message de candidature bien rédigé, parfois accompagné d’un échange sur plusieurs jours, voire plusieurs semaines. Le faux candidat partage alors un « portfolio » ou un CV, hébergé sur ce qui semble être un site personnel professionnel, souvent construit sur une infrastructure cloud de confiance comme AWS.

Pour contourner toute suspicion ou alerte au spam, une astuce : le lien n’est pas cliquable. Il doit être copié-collé dans le navigateur. Parfois, un CAPTCHA vient ajouter une couche de légitimité et permet de filtrer les robots et les outils de sécurité automatisés. Une fois sur le site, le recruteur est invité à télécharger un fichier compressé ZIP, censé contenir le fameux portfolio. Mais en l’ouvrant, il installe à son insu le malware More_eggs, un cheval de Troie particulièrement discret et dangereux.

Pour passer sous les radars, les cybercriminels créent de faux portfolios, hébergés sur des plateformes de confiance // Source : DomainTools
Pour passer sous les radars, les cybercriminels créent de faux portfolios, hébergés sur des plateformes de confiance. // Source : capture d’écran

Une motivation purement financière

Si FIN6 déploie autant d’efforts pour tromper ses victimes, c’est parce que l’enjeu financier est colossal. Le malware More_eggs, vendu sur le dark web comme « malware-as-a-service », permet aux attaquants de voler des identifiants, d’accéder à des données confidentielles ou encore d’installer d’autres logiciels malveillants, notamment des ransomwares. Dans certains cas, les cybercriminels peuvent prendre le contrôle des systèmes internes de l’entreprise, exfiltrer des informations sensibles ou encore préparer le terrain pour des attaques de plus grande ampleur.

Comment se protéger ?

Loin d’être la première attaque à utiliser les processus de recrutements comme terrain de jeu, celle-ci se distingue par la rapidité à laquelle les entreprises peuvent être infectées. Une occasion de distiller quelques conseils aux professionnels du métier :

  • Vérifier systématiquement l’identité des candidats via des canaux officiels
  • Ne jamais télécharger de fichiers ZIP ou exécuter de fichiers .lnk provenant de sources inconnues ou non vérifiées
  • Vous former régulièrement aux nouvelles techniques d’ingénierie sociale et aux risques cyber

Un nouvel obstacle pour les recruteurs qui peinent parfois à trouver la perle rare pour leur entreprise. Et si votre dernière pépite était en réalité un travailleur nord-coréen camouflé ?

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !


Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !