### Le service malveillant de Fox Tempest **Microsoft** a annoncé le démantèlement de **Fox Tempest**, un acteur de la menace fournissant un système de signature de malware en tant que service (MSaaS) actif depuis mai 2025. Ce système permettait aux cybercriminels de déguiser des malwares en logiciels légitimes à l'aide de certificats de signature de code obtenus frauduleusement. « Pour perturber le service, nous avons saisi le site web de **Fox Tempest**, signspace[.]cloud, mis hors ligne des centaines de machines virtuelles exécutant l'opération, et bloqué l'accès à un site hébergeant le code sous-jacent », a déclaré Steven Masada, conseiller juridique adjoint à l'unité des crimes numériques de **Microsoft**. ### Déploiement de ransomware et de malware L'opération a facilité le déploiement du ransomware **Rhysida** par des acteurs de la menace comme **Vanilla Tempest**, ainsi que d'autres familles de malwares, notamment **Oyster**, **Lumma Stealer** et **Vidar**. Cela souligne le rôle important de **Fox Tempest** dans l'écosystème de la cybercriminalité. Des liens ont été établis entre l'acteur de la menace et des affiliés liés à des souches de ransomware proéminentes telles que **INC**, **Qilin**, **BlackByte** et **Akira**. Ces attaques ont ciblé les secteurs de la santé, de l'éducation, du gouvernement et des services financiers aux États-Unis, en France, en Inde et en Chine. ### Abus de la signature d'artefacts La **Signature d'artefacts** (anciennement Azure Trusted Signing), la solution de signature gérée par **Microsoft**, a été utilisée abusivement par **Fox Tempest** pour générer des certificats de signature de code frauduleux de courte durée. Ces certificats, valides seulement 72 heures, leur ont permis de distribuer des malwares signés et fiables, contournant ainsi les contrôles de sécurité. « Pour obtenir des certificats signés légitimes via la **Signature d'artefacts**, le demandeur doit passer par des processus de validation d'identité détaillés conformément aux identifiants vérifiables (VC) standard de l'industrie, ce qui suggère que l'acteur de la menace a très probablement utilisé des identités volées basées aux États-Unis et au Canada pour se faire passer pour une entité légitime et obtenir les identifiants numériques nécessaires à la signature », a expliqué **Microsoft**. Le site web SignSpace, basé sur la **Signature d'artefacts**, permettait la signature sécurisée de fichiers via un panneau d'administration et une page utilisateur, en s'appuyant sur des abonnements Azure, des certificats et une base de données structurée pour gérer les utilisateurs et les fichiers. ### Détails et coûts de l'opération Le service permettait aux clients cybercriminels de télécharger des fichiers malveillants pour la signature de code à l'aide de certificats obtenus frauduleusement par **Fox Tempest**. Cela a permis aux malwares et aux ransomwares de se faire passer pour des logiciels légitimes tels qu'AnyDesk, **Microsoft Teams**, PuTTY et **Cisco Webex**. Le service était proposé entre 5 000 $ et 9 000 $. ### Évolution de l'infrastructure À partir de février 2026, **Fox Tempest** a commencé à fournir à ses clients des machines virtuelles (VM) préconfigurées hébergées sur **Cloudzy**, simplifiant la livraison de binaires signés. Cette évolution a réduit les frictions pour les clients et amélioré la sécurité opérationnelle de **Fox Tempest**. ### Tactiques et contre-mesures Des acteurs de la menace comme **Vanilla Tempest** distribuaient des binaires signés via le service par le biais de publicités achetées légitimement, redirigeant les utilisateurs recherchant **Microsoft Teams** vers de fausses pages de téléchargement. Cela a ouvert la voie au déploiement d'**Oyster** (alias Broomstick ou CleanUpLoader), qui distribue le ransomware **Rhysida**. **Microsoft** a activement contré les tactiques de **Fox Tempest** en désactivant les comptes frauduleux et en révoquant les certificats obtenus illégalement. Des documents judiciaires révèlent que **Microsoft** a travaillé avec une « source coopérative » pour acheter et tester le service entre février et mars 2026. « Lorsque les attaquants peuvent faire passer des logiciels malveillants pour légitimes, cela sape la façon dont les personnes et les systèmes décident de ce qui est sûr », a déclaré **Microsoft**. « Perturber cette capacité est essentiel pour augmenter le coût de la cybercriminalité. »