Cybercrime service disrupted for abusing Microsoft platform to sign malware

1 minute de lecture

Mis à jour : May 20, 2026

Démantèlement d’une plateforme criminelle de signature de logiciels malveillants

Microsoft a neutralisé « Fox Tempest », un service de cybercriminalité proposant la signature de logiciels malveillants (Malware-Signing-as-a-Service - MSaaS). Ce groupe exploitait le service Azure Artifact Signing pour générer frauduleusement des certificats numériques, permettant à des malwares d’être reconnus comme des logiciels légitimes par Windows.

Points clés :

Mode opératoire : Fox Tempest utilisait des identités volées (États-Unis/Canada) pour contourner les contrôles de validation de Microsoft et créer des milliers de certificats éphémères (valides 72h).
Infrastructure : Le service était commercialisé sur Telegram pour des sommes allant de 5 000 à 9 000 $. Il s’appuyait sur des centaines d’abonnements Azure et des machines virtuelles préconfigurées.
Impact : Plus de 1 000 certificats ont été révoqués. Cette infrastructure a servi à signer des menaces majeures, notamment les ransomwares Rhysida, Akira, BlackByte, ainsi que des infostealers comme Lumma Stealer et Vidar.
Action juridique : Microsoft a saisi le domaine signspace.cloud, déconnecté les serveurs associés et engagé des poursuites judiciaires.

Vulnérabilités exploitées :

Il ne s’agit pas d’une vulnérabilité logicielle (CVE) classique, mais d’une exploitation des processus de vérification d’identité et de confiance numérique du service Azure Artifact Signing. L’abus repose sur l’usurpation d’identité pour obtenir des droits de signature légitimes auprès d’une autorité de certification de confiance.

Recommandations :

Vigilance accrue sur les signatures : Ne pas accorder une confiance aveugle aux binaires simplement parce qu’ils sont signés numériquement ; vérifier systématiquement la réputation de l’éditeur et du certificat.
Solutions de sécurité multicouches : Utiliser des outils de protection des points de terminaison (EDR) capables d’analyser le comportement des applications, même si elles possèdent une signature valide.
Hygiène informatique : Sensibiliser les utilisateurs à la méfiance envers les installateurs de logiciels, même ceux imitant des outils légitimes (Teams, AnyDesk, etc.), car la signature ne garantit pas l’absence de malveillance.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Cybercrime service disrupted for abusing Microsoft platform to sign malware

Démantèlement d’une plateforme criminelle de signature de logiciels malveillants

Partager sur

Vous pourriez aimer

Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API

Webworm : Nouvelles techniques de dissimulation et backdoors via Discord et Microsoft Graph

Typosquatting Is No Longer a User Problem. Its a Supply Chain Problem

La nouvelle menace du Typosquatting : La chaîne d’approvisionnement logicielle compromise

On AI Security

Les défis de la sécurisation de l’IA

Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks

Démantèlement de l’opération de cybercriminalité « OpFauxSign »