Microsoft affirme avoir démantelé une activité de signature de logiciels malveillants à la carte. Ce service, qui exploitait le système Artifact Signing de Microsoft, permettait de produire des certificats de signature de code frauduleux. Ces certificats étaient ensuite utilisés par des groupes de rançongiciels et d’autres cybercriminels.
Selon un rapport publié aujourd’hui par Microsoft Threat Intelligence, le groupe Fox Tempest s’est servi de la plateforme Microsoft Artifact Signing pour générer des certificats à durée de vie réduite. Ces certificats permettaient de signer des logiciels malveillants et les faire apparaître comme des logiciels légitimes auprès des utilisateurs et des systèmes d’exploitation.
Azure Artifact Signing est un service cloud lancé par Microsoft en 2024 qui permet aux développeurs de signer leurs programmes facilement.
Microsoft indique que le groupe, motivé par des gains financiers, a créé plus de 1 000 certificats et plusieurs centaines de tenants Azure et de subscriptions pour cette activité. Microsoft a également dévoilé aujourd’hui une action judiciaire devant le tribunal de district américain du sud de New York contre cette cybercriminalité.
« Fox Tempest a créé plus d’un millier de certificats et a mis en place plusieurs centaines de tenants et de subscriptions Azure pour son fonctionnement. Microsoft a révoqué plus de mille certificats de signature de code attribués à Fox Tempest », a déclaré Microsoft.
« En mai 2026, la Digital Crimes Unit de Microsoft, avec le soutien de partenaires industriels, a neutralisé le service de signature de Fox Tempest. L’action visait l’infrastructure et le modèle d’accès qui permettent son usage criminel plus large. »
Microsoft déclare avoir saisie le domaine signspace[.]cloud utilisé par le service. L’entreprise a également mis hors ligne plusieurs centaines de machines virtuelles liées à l’opération et a bloqué l’accès à l’infrastructure hébergeant la plateforme cybercriminelle.
Le site redirige maintenant les visiteurs vers un site contrôlé par Microsoft qui explique que la saisie du domaine fait partie d’une procédure judiciaire contre ce service de signature frauduleuse.
L’activité était liée à plusieurs campagnes de logiciels malveillants et de rançongiciels qui impliquaient Oyster, Lumma Stealer, Vidar, ainsi que les rançongiciels Rhysida, Akira, INC, Qilin et BlackByte. Microsoft affirme que des groupes, dont Vanilla Tempest (membres du rançongiciel INC), Storm-0501, Storm-2561 et Storm-0249, ont utilisé les logiciels signés dans leurs attaques.
Microsoft a également nommé l’opération de rançongiciel Vanilla Tempest comme complice dans l’action judiciaire. L’entreprise déclare que ce groupe a utilisé le service pour distribuer des logiciels malveillants et des rançongiciels dans des attaques qui ont visé des organisations dans le monde entier.
Microsoft précise que le service de signature fonctionnait via signspace[.]cloud. Cette plateforme permettait aux clients cybercriminels de charger des fichiers malveillants pour une signature de code qui utilisait des certificats obtenus frauduleusement.
Certificat utilisé pour signer les installateurs du logiciel malveillant Oyster
Source : La plainte de Microsoft
Ces fichiers malveillants signés étaient ensuite utilisés par des groupes cybercriminels pour imiter des logiciels légitimes comme Microsoft Teams, AnyDesk, PuTTY et Webex. Ils servaient à donner une impression de légitimité aux fichiers téléchargés.
« Lorsque des victimes peu soupçonneuses exécutent les fichiers d’installation de Microsoft Teams mal nommés, ces fichiers lancent un chargeur malveillant. Celui-ci installe ensuite le logiciel malveillant Oyster frauduleusement signé, et déploye finalement le rançongiciel Rhysida », indique la plainte de Microsoft.
« Le logiciel malveillant Oyster était signé par un certificat du service Artifact Signing de Microsoft. Pour cette raison, le système d’exploitation Windows l’identifie initialement comme un logiciel légitime, alors qu’il serait normalement signalé comme suspect ou bloqué par les contrôles de sécurité de Windows. »
Microsoft pense que les opérateurs ont probablement utilisé des identités usurpées de personnes aux États-Unis et au Canada. Cela leur a permis de passer les exigences de vérification d’identité d’Artifact Signing et d’obtenir les justificatifs de signature.
Pour obtenir les certificats, les groupes cybercriminels ont utilisé uniquement des certificats à durée de vie courte, valides pour 72 heures. Cette technique réduit le risque de détection.
BleepingComputer avait déjà rapporté en mars 2025 que des cybercriminels exploitaient le service Trusted Signing de Microsoft pour signer des logiciels malveillants. Ces logiciels étaient utilisés dans une campagne de vol de crypto-monnaies Crazy Evil Traffers et dans une campagne Lumma Stealer.
Ces logiciels malveillants étaient également signés avec des certificats de 3 jours. On ne sait pas si ils ont été signés par la plateforme cybercriminelle Fox Tempest.
Microsoft a aussi détaillé l’évolution de l’opération Fox Tempest au début de cette année. Le service a alors fourni à ses clients des machines virtuelles préconfigurées hébergées via une infrastructure de Cloudzy. Les clients chargent leurs logiciels malveillants dans ces environnements VM et recevaient des binaires signés qui utilisent les certificats contrôlés par Fox Tempest.
La plateforme de signature de logiciels malveillants était promue sur un canal Telegram nommé « EV Certs for Sale by SamCodeSign ». Le prix d’accès à la plateforme variait entre 5 000 et 9 000 dollars en bitcoin.
Microsoft déclare que l’opération a généré plusieurs millions de dollars de profits. Le groupe est bien financé et capable de gérer une infrastructure, des relations clients et des transactions financières.