文章总结： 近期黑产利用恶意域名冒充企业群发招聘钓鱼邮件，滥用合法邮箱基础设施绕过检测。受害者被诱导下载恶意应用导致信息泄露及洗钱风险。文中提供了详细的域名解析配置及恶意域名IOC列表，建议企业加强审核，个人警惕不明求职Offer。 综合评分： 90 文章分类： 威胁情报,社会工程学,应急响应,安全意识

钓鱼预警：近期出现黑产冒充多家企业群发招聘钓鱼邮件

原创

Droid Droid

DeepPhish

2026年1月31日 11:41 广东

DP团队近年来曾捕获过Linkedin上不少钓鱼招聘，方式多种多样，比如有让你填入Apple ID和密码证明你有iPhone让你做Apple设备测评的，有纯社工骗钱的。失业的人多，做黑产的也多，大家注意防范。以下为Droid供稿。

近期捕获到某黑产组织注册大量恶意域名用于投递招聘钓鱼邮件，并且持续轮换“马甲”，企图诈骗的案例，一旦回复会进一步诱导受害者下载安装恶意应用，窃取受害者个人敏感信息，以及后续诈骗分子使用壳账户进行转账实施跑分洗钱行为。整个过程用到了多重技术手段，包括：可信域名伪装,恶意链接,数据收集,合法服务滥用,心理操纵,权威利用,信任伪装,域名重定向等。

1、初始投递

邮件内容如下：

当用户按照指引回复后，诈骗分子会约定面试时间并发送所谓的“offer”，其中包含恶意应用“协同办公app”的下载链接，或是发送腾讯会议的会议号用于后续进一步实施诈骗行为。

2、域名注册者信息及配置策略

注册人: 吴亚猛 注册人邮箱: [email protected]

注册人: 李雪婷 注册人邮箱: [email protected]

注册人: 南通新站软件有限公司 注册人邮箱: [email protected]

TXT记录1: v=spf1 include:yunyou.top -all TXT记录2: v=spf1 include:spf.qiye.aliyun.com -all TXT记录3: v=spf1 include:spfv.global-mail.cn -all TXT记录4: v=spf1 include:spf.mail.qq.com ~all

MX记录1: 10 mx1.yunyou.top. MX记录2: 10 mx2.yunyou.top. MX记录3: 5 mx1.qiye.aliyun.com. MX记录4: 10 mx2.qiye.aliyun.com. MX记录5: 15 mx3.qiye.aliyun.com. MX记录6: 50 mxw.global-mail.cn. MX记录7: 10 mxv.global-mail.cn. MX记录8: 10 mxbiz2.qq.com. MX记录9: 5 mxbiz1.qq.com.

恶意域名均存在smtp、pop3、imap这三个子域名的解析记录，最终指向成都西维数码的“企业云邮（刺猬云邮）”、阿里企业邮箱、北京新网数码的新网全球邮等。

3、相关IOC信息

部分恶意域名：

bjqykj.cn bjqykj.net bydas.cn cchdk.com djaiojf.cn haog.com.cn hisiona.cn hisiona.com.cn hisiona.com hisionb.cn hisionb.com.cn hisionb.com hisionc.cn hisionc.com.cn hisionc.com hisiond.cn hwsko.cn ldjfh.com libcol.com.cn lygf01.com lygf02.com lygf03.com lygf04.com lygf05.com lygf06.com lygf07.com lygf08.com lygf09.com lygf10.com lygf11.com lygf12.com lygf13.com lygf14.com lygf15.com lygf16.com lygf17.com lygf18.com ndkjfh.com nfakjs.cn nhksd.com.cn sicty1.com sicty2.com sicty3.com sicty4.com sicty5.com tpvtecha.cn tpvtecha.com.cn tpvtecha.com tpvtechb.cn tpvtechb.com.cn tpvtechb.com tpvtechc.cn tpvtechc.com.cn tpvtechc.com tpvtechd.cn tpvtechd.com.cn tpvtechd.com tpvtechf.cn tpvtechi.cn tpvtechj.cn tpvtechj.com.cn tpvtechj.com tpvtechk.cn tpvtechk.com.cn tpvtechk.com tpvtecht.cn tpvtecht.com.cn tpvtecht.com tpvtechv.cn tpvtechv.com.cn tpvtechv.com tslgroup.cn uaodesign.cn uaodesign.com vactech.cn wishpictures.cn xn--ehrx2xmn4b.cn xn--ehrx2xmn4b.com yiwuyanxuan.cn zuoao.cn

根据相关情报显示，恶意域名由“南通腾云网/南通新站软件”公司批量代注册，与企业云邮（刺猬云邮）、阿里企业邮箱、新网全球邮等合法基础设施配合使用实现招聘钓鱼邮件的发送和接收受害者的邮件回复，且被滥用的这些“企业邮箱”平台存在发件功能无审核检测机制的情况，故被黑产滥用群发招聘钓鱼邮件。猜测后续会经常使用这类障眼法，用于伪装的地址也几乎多到无法穷举，注意防范！

我看着很好骗吗？又来骗我 骗子！！！先给我发邮件，… http://xhslink.com/o/381K1YNxUxH

复制后打开【小红书】查看笔记！

点赞、爱心、星标支持我们，在钓鱼中招前打一针疫苗！

• EML安全分析平台：deepphish.cn/eml

• 反钓鱼训练平台：deepphish.cn/apt

• 官微：Wh0ami1999

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：DeepPhish Droid Droid《钓鱼预警：近期出现黑产冒充多家企业群发招聘钓鱼邮件》