Microsoft a mis fin à une opération baptisée OpFauxSign, ciblant un groupe nommé Fox Tempest actif depuis mai 2025. Ce groupe proposait un service payant permettant à d’autres cybercriminels de signer numériquement des logiciels malveillants, leur donnant l’apparence de programmes légitimes.
L’opération a conduit à la saisie du site signspace[.]cloud, à la mise hors ligne de centaines de machines virtuelles et au blocage d’un serveur hébergeant le code sous-jacent à l’infrastructure.
A lire aussi
- Comment les services numériques transforment les habitudes de paiement en France en 2026
- Mise à jour de sécurité Samsung : le patch de juillet 2025 est en cours de déploiement, votre appareil est-il concerné ?
Un détournement du système de signature de Microsoft
Fox Tempest a exploité Artifact Signing, anciennement connu sous le nom d’Azure Trusted Signing, le service géré par Microsoft permettant aux développeurs de certifier l’authenticité de leurs applications. Le groupe a utilisé ce mécanisme pour générer des certificats frauduleux, valables seulement 72 heures.
Pour obtenir ces certificats, le groupe aurait utilisé des identités volées, vraisemblablement basées aux États-Unis et au Canada, afin de se faire passer pour des entités légitimes lors des processus de validation requis par la plateforme.
Les fichiers malveillants signés imitaient des logiciels courants comme AnyDesk, Microsoft Teams, PuTTY ou Cisco Webex. Le service était facturé entre 5 000 et 9 000 dollars aux clients criminels.
Des ransomwares connus parmi les bénéficiaires
L’infrastructure de Fox Tempest a servi au déploiement de plusieurs familles de malwares, dont Rhysida, Oyster, Lumma Stealer et Vidar. Des connexions ont été établies avec des affiliés opérant des ransomwares comme INC, Qilin, BlackByte et Akira.
Un acteur identifié sous le nom Vanilla Tempest a diffusé des binaires signés via des publicités achetées légalement, redirigeant des internautes vers des pages de téléchargement factices. Ces pages installaient Oyster, un chargeur modulaire servant de passerelle vers le ransomware Rhysida.
Les cibles comprenaient des établissements de santé, d’éducation, des services gouvernementaux et des institutions financières aux États-Unis, en France, en Inde et en Chine.
Une évolution de l’infrastructure contrecarrée
À partir de février 2026, Fox Tempest avait commencé à proposer à ses clients des machines virtuelles préconfigurées, hébergées chez Cloudzy, pour faciliter l’envoi direct des fichiers à signer.
Microsoft a régulièrement désactivé des comptes frauduleux et révoqué des certificats illicites au fil des mois. Fox Tempest avait même tenté de migrer vers un autre service de signature de code. Des documents judiciaires indiquent que Microsoft a collaboré avec une source confidentielle pour acheter et tester le service entre février et mars 2026.
Un signal sur la confiance dans la chaîne logicielle
Cette affaire illustre les risques liés au détournement des mécanismes de confiance numérique. En permettant à des malwares d’arborer une signature valide, Fox Tempest contournait les protections reposant sur la légitimité apparente des fichiers exécutables.
Pour Microsoft, neutraliser ce type de service revient à augmenter le coût et la complexité des attaques pour les groupes criminels qui en dépendent, plutôt que de cibler uniquement les malwares eux-mêmes.
Source : Thehackernews
