Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks

1 minute de lecture

Mis à jour : May 20, 2026

Démantèlement de l’opération de cybercriminalité « OpFauxSign »

Microsoft a neutralisé le groupe « Fox Tempest », responsable d’un service illégitime de signature de malwares (MSaaS). Ce service permettait à des cybercriminels de signer numériquement des logiciels malveillants afin de les faire passer pour des applications légitimes (Microsoft Teams, AnyDesk, PuTTY, etc.) et de contourner les protections de sécurité.

Points clés :

Mode opératoire : Fox Tempest exploitait le service Artifact Signing de Microsoft en utilisant des identités volées (États-Unis/Canada) pour obtenir des certificats de signature de code valides pendant 72 heures.
Services fournis : Pour un coût compris entre 5 000 et 9 000 dollars, les clients recevaient des outils pour signer des malwares tels que le ransomware Rhysida, ainsi que Oyster, Lumma Stealer et Vidar.
Évolution technique : Depuis février 2026, le groupe fournissait des machines virtuelles préconfigurées hébergées sur Cloudzy pour automatiser la signature de fichiers à grande échelle.
Impact : Des milliers de machines dans les secteurs de la santé, de l’éducation et de la finance ont été compromises via des campagnes publicitaires malveillantes (malvertising).
Mesures de perturbation : Microsoft a saisi le domaine signspace[.]cloud, fermé les machines virtuelles associées et révoqué les certificats frauduleux.

Vulnérabilités :

Aucune CVE spécifique n’est mentionnée, car l’attaque repose sur une exploitation abusive des processus de validation d’identité (usurpation d’identité) pour obtenir des certificats légitimes via Artifact Signing.

Recommandations :

Renforcement de la vigilance : Les organisations doivent vérifier systématiquement la signature numérique des logiciels, mais ne pas considérer une signature comme un gage absolu de sécurité (le contenu peut être malveillant malgré une signature valide).
Protection des endpoints : Maintenir des solutions EDR/XDR à jour pour détecter les comportements malveillants, indépendamment de la réputation ou de la signature du fichier.
Sensibilisation : Mettre en garde les utilisateurs contre le téléchargement de logiciels via des publicités sur les moteurs de recherche, une technique privilégiée par les acteurs comme Vanilla Tempest pour déployer leurs charges utiles.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Microsoft Takes Down Malware-Signing Service Behind Ransomware Attacks

Démantèlement de l’opération de cybercriminalité « OpFauxSign »

Partager sur

Vous pourriez aimer

Webworm Deploys EchoCreep and GraphWorm Backdoors Using Discord and MS Graph API

Webworm : Nouvelles techniques de dissimulation et backdoors via Discord et Microsoft Graph

Typosquatting Is No Longer a User Problem. Its a Supply Chain Problem

La nouvelle menace du Typosquatting : La chaîne d’approvisionnement logicielle compromise

On AI Security

Les défis de la sécurisation de l’IA

Microsoft shares mitigation for YellowKey Windows zero-day

Vulnérabilité YellowKey : contournement de la protection BitLocker