Le géant technologique a annoncé ce 19 mai avoir mis fin aux agissements de Fox Tempest, un service décrit comme un « malware-signing-as-a-service » (MSaaS). Cette plateforme permettait aux pirates de faire passer leurs logiciels malveillants pour des programmes authentiques en abusant du service cloud légitime Azure Artifact Signing. Depuis 2024, cet outil offre aux développeurs un moyen de signer numériquement leurs applications, une garantie de confiance pour les systèmes d’exploitation comme Windows et les antivirus. Fox Tempest représentait un acteur majeur, mais souvent invisible, de l’écosystème de la cybercriminalité moderne.
Comment Fox Tempest parvenait-il à tromper les systèmes de sécurité ?
Le mode opératoire de la plateforme était redoutablement efficace. Pour qu’un programme soit considéré comme fiable, il doit posséder un certificat numérique délivré par une autorité reconnue. Les opérateurs de Fox Tempest ont réussi à obtenir ces précieux sésames en créant des centaines de faux comptes Azure, souvent en usurpant des identités de développeurs légitimes, principalement américains et canadiens. Un pirate pouvait alors simplement déposer son malware sur le portail de Fox Tempest pour le récupérer quelques instants plus tard, signé et paré à tromper la vigilance des défenses informatiques.
In early October 2025, Microsoft disrupted a Vanilla Tempest campaign by revoking over 200 certificates that the threat actor had fraudulently signed and used in fake Teams setup files to deliver the Oyster backdoor and ultimately deploy Rhysida ransomware.
We identified this… pic.twitter.com/FeTitSrTbi
— Microsoft Threat Intelligence (@MsftSecIntel) October 15, 2025
Ce service clé en main était commercialisé via un abonnement sur des canaux comme Telegram, avec des tarifs allant de 5 000 à 9 500 dollars en Bitcoin. Pour minimiser les risques de détection, les certificats obtenus frauduleusement n’étaient valables que 72 heures, une contrainte qui n’a pas empêché l’opération de générer des millions de dollars de profits. Les criminels ont ainsi pu faire certifier plus de 1 000 malwares, rendant leurs attaques bien plus susceptibles de réussir en déjouant les systèmes de sécurité traditionnels.
Quelles étaient les cibles et les conséquences de ces attaques ?
Une fois les malwares certifiés, ils étaient distribués via des méthodes classiques mais efficaces : des publicités malveillantes sur les moteurs de recherche et de fausses pages de téléchargement pour des logiciels populaires comme Microsoft Teams, AnyDesk ou PuTTY. Une victime pensant installer un programme légitime déployait en réalité un logiciel espion, comme Oyster, qui ouvrait ensuite la voie au ransomware Rhysida. Ce dernier se chargeait de chiffrer tous les fichiers de l’ordinateur et d’exiger une rançon.
Cette méthode a permis la diffusion de nombreuses familles de malwares, dont les voleurs de données Lumma Stealer et Vidar. Des hôpitaux, des universités et des administrations publiques ont été ciblés dans le monde entier. La France a été particulièrement touchée, se classant comme le deuxième pays le plus visé par les opérations de Fox Tempest, juste derrière les États-Unis. Des groupes criminels comme Vanilla Tempest, Qilin ou Akira comptaient parmi les clients de ce service, qui leur permettait de chiffrer les fichiers de leurs victimes avec une efficacité redoutable.
Quelle a été la riposte pour neutraliser cette menace ?
Pour mettre un terme à cette menace, Microsoft a mobilisé sa Digital Crimes Unit (DCU), son unité spécialisée dans la lutte contre la cybercriminalité. En collaboration étroite avec le FBI, le Centre européen de lutte contre la cybercriminalité d’Europol (EC3) et la société de cybersécurité Resecurity, une contre-attaque massive a été organisée. L’opération a abouti à la saisie du domaine web de Fox Tempest, signspace[.]cloud, à la mise hors ligne de centaines de machines virtuelles et à la révocation de plus de 1 000 certificats frauduleux.
En complément de ces actions techniques, l’éditeur a déposé une plainte contre les administrateurs de la plateforme et l’un de ses principaux clients, le gang Vanilla Tempest. Cette riposte coordonnée a un impact stratégique : elle force les pirates à devoir tout reconstruire, à trouver de nouvelles failles et à prendre plus de risques. L’objectif est de rendre leurs opérations plus coûteuses et plus complexes, dégradant ainsi un maillon essentiel de la chaîne d’attaque de nombreux groupes de ransomware.