**Microsoft** a mis fin à une opération majeure de Malware-Signing-as-a-Service (MSaaS) qui abusait de son propre service **Azure Artifact Signing**. L'opération, menée par des acteurs de la menace suivis sous le nom de **Fox Tempest**, générait de faux certificats de signature de code utilisés par des groupes de ransomware et d'autres cybercriminels. ### Abus d'Azure Artifact Signing **Azure Artifact Signing** (anciennement Trusted Signing) est un service basé sur le cloud lancé par **Microsoft** en 2024, conçu pour permettre aux développeurs de signer facilement leurs programmes. Cependant, **Fox Tempest** a exploité ce service pour créer des certificats de courte durée, permettant aux malwares d'être signés numériquement et reconnus comme des logiciels légitimes par les utilisateurs et les systèmes d'exploitation. **Microsoft** rapporte que l'acteur de la menace motivé par le gain financier a créé plus de 1 000 certificats et des centaines de locataires et d'abonnements **Azure** dans le cadre de l'opération. Ils ont également rendu public un dossier judiciaire auprès du tribunal de district des États-Unis pour le district sud de New York, ciblant l'opération de cybercriminalité. « **Fox Tempest** a créé plus d'un millier de certificats et a établi des centaines de locataires et d'abonnements **Azure** pour soutenir ses opérations. **Microsoft** a révoqué plus d'un millier de certificats de signature de code attribués à **Fox Tempest** », a déclaré **Microsoft**. ### Démantèlement de l'opération MSaaS En mai 2026, l'Unité des crimes numériques (DCU) de **Microsoft**, avec le soutien de partenaires industriels, a démantelé l'offre MSaaS de **Fox Tempest**, ciblant l'infrastructure et le modèle d'accès qui permettent son utilisation criminelle élargie. **Microsoft** a saisi le domaine signspace[.]cloud utilisé par le service, a mis hors ligne des centaines de machines virtuelles liées à l'opération et a bloqué l'accès à l'infrastructure hébergeant la plateforme de cybercriminalité. Le site redirige désormais les visiteurs vers un site opéré par **Microsoft** expliquant la saisie du domaine dans le cadre d'une action en justice contre le système de malware-signing-as-a-service. ### Connexions avec les malwares et les ransomwares L'opération a été liée à de nombreuses campagnes de malwares et de ransomwares impliquant Oyster, Lumma Stealer, Vidar, ainsi que les opérations de ransomware Rhysida, Akira, INC, Qilin et BlackByte. Des acteurs de la menace, notamment Vanilla Tempest (membres de l'INC Ransomware), Storm-0501, Storm-2561 et Storm-0249, ont utilisé les malwares signés dans leurs attaques. **Microsoft** a également nommé l'opération de ransomware Vanilla Tempest comme co-conspiratrice dans l'action en justice, déclarant que le groupe avait utilisé le service pour distribuer des malwares et des ransomwares dans des attaques visant des organisations du monde entier. Le MSaaS était exploité via signspace[.]cloud et permettait aux clients cybercriminels de télécharger des fichiers malveillants pour la signature de code en utilisant des certificats obtenus frauduleusement.  Ces fichiers malveillants signés étaient ensuite utilisés par les acteurs de la menace pour usurper l'identité de logiciels légitimes tels que **Microsoft Teams**, AnyDesk, PuTTY et Webex, ajoutant de la légitimité aux téléchargements. « Lorsque des victimes sans méfiance exécutaient les fichiers d'installation de **Microsoft Teams** nommés de manière frauduleuse, ces fichiers livraient un chargeur malveillant, qui à son tour installait le malware Oyster signé frauduleusement et déployait finalement le ransomware Rhysida », indique la plainte de **Microsoft**. « Parce que le malware Oyster était signé par un certificat du service **Microsoft's Artifact Signing**, le système d'exploitation Windows reconnaissait initialement le malware comme un logiciel légitime, alors qu'il serait autrement signalé comme suspect ou bloqué entièrement par les contrôles de sécurité du système d'exploitation Windows. » ### Usurpation d'identité et certificats de courte durée **Microsoft** pense que les opérateurs ont probablement utilisé des identités volées aux États-Unis et au Canada pour passer les exigences de vérification d'identité d'Artifact Signing et obtenir les identifiants de signature. Lors de l'obtention des certificats, les acteurs de la menace auraient utilisé uniquement des certificats de courte durée valides pendant 72 heures afin de réduire le risque de détection. ### Abus antérieurs de Trusted Signing BleepingComputer avait précédemment rapporté en mars 2025 que des acteurs de la menace abusaient du service **Microsoft's Trusted Signing** pour signer des malwares utilisés dans une campagne de vol de cryptomonnaies Crazy Evil Traffers et une campagne Lumma Stealer. Bien que ces malwares aient également été signés avec des certificats de 3 jours, il n'est pas clair s'ils ont été signés par la plateforme de cybercriminalité **Fox Tempest**. ### Évolution des opérations de Fox Tempest **Microsoft** a également détaillé comment **Fox Tempest** a fait évoluer son opération plus tôt cette année en fournissant à ses clients des machines virtuelles préconfigurées hébergées via l'infrastructure Cloudzy. Les clients téléchargeaient des malwares dans les environnements VM et recevaient des binaires signés à l'aide de certificats contrôlés par **Fox Tempest**. La plateforme de signature de malwares était promue sur un canal Telegram nommé « EV Certs for Sale by SamCodeSign », avec des prix allant de 5 000 $ à 9 000 $ en bitcoin pour l'accès à la plateforme. **Microsoft** affirme que l'opération a généré des millions de dollars de profits et qu'il s'agit d'un groupe bien financé capable de gérer l'infrastructure, les relations clients et les transactions financières. [](https://hubs.li/Q048zztN0) ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)