Mille jours pour l’arnaqueur, un jour pour la victime. Microsoft a annoncé mardi le démantèlement de Fox Tempest, un service cybercriminel spécialisé dans la signature frauduleuse de malwares. Ce groupe générait des certificats qui faisaient apparaître des logiciels malveillants comme dignes de confiance aux yeux des systèmes de sécurité. La France fait partie des pays les plus ciblés par ce réseau de ransomware.
Le mardi 19 mai, Microsoft a annoncé avoir démonté Fox Tempest, un service cybercriminel qui permettait à n’importe quel attaquant de faire passer ses logiciels malveillants pour des applis officielles, en les faisant certifier de manière frauduleuse. Le géant informatique a partagé des informations sur la manière dont ses agents ont collaboré avec la justice et ont piégé les opérateurs de Fox Tempest en utilisant des identités secrètes.
Fox Tempest actif depuis seulement un an
Fox Tempest est un groupe de cybercriminels actif depuis au moins mai 2025. Ce service abusait du certificat de code, qui indique à votre ordinateur qu’un programme est fiable et qu’il peut s’installer sans danger. Cela s’appelle une offre de « signature de logiciels malveillants en tant que service » (MSaaS). Cette technique permet aux attaquants de déguiser des logiciels malveillants en logiciels légitimes et ainsi d’échapper aux défenses de sécurité traditionnelles. « Le code de signature frauduleux agit comme une fausse identité qui permet aux cybercriminels d’accéder aux systèmes en passant par la porte principale », a expliqué Steven Masada, responsable mondial de l’unité de lutte contre la criminalité numérique (DCU) de Microsoft.
Le réseau créait des centaines de faux comptes Microsoft, en usurpant des identités
Pour construire son outil MSaaS, Fox Tempest a utilisé des signatures de code tels que la signature d’artefacts de Microsoft. Introduit sous le nom de Trusted Signing en 2024, ce système est conçu pour aider les développeurs de logiciels à signer numériquement leurs logiciels, applications et fichiers. Pour obtenir ces précieux certificats en volume, Fox Tempest a créé des centaines de faux comptes Microsoft, en usurpant des identités et en se faisant passer pour des entreprises légitimes. Il a ainsi pu accumuler les accréditations à la chaîne, avec des millions de dollars de revenus.
Il suffisait d’uploader un fichier malveillant pour le certifier en un clic
En tant que facilitateur, Fox Tempest opère en amont de la chaîne d’approvisionnement des logiciels malveillants et des rançongiciels. Cela signifie qu’il ne s’implique pas lui-même dans les opérations malveillantes, mais fournit des outils et des services permettant à d’autres acteurs de la cybermenace de le faire. Ces derniers n’ont qu’à uploader leur fichier malveillant sur un portail en ligne dédié pour le faire signer numériquement en un clic avec un Afrtifact Signing. C’est un peu comme un « blanchiment » de malwares.
Un opérateur de longue date de Fox Tempest pris au piège sur Telegram
Pour neutraliser Fox Tempest, Microsoft a collaboré avec le FBI, Europol et la société de cybersécurité Resecurity. Des enquêteurs de la firme informatique (DCU) ont communiqué directement avec un opérateur de longue date de Fox Tempest via Telegram. Au cours de leurs conversations, le vendeur proposait des services de signature de code pour un prix compris entre 5 000 et 7 500 dollars. Il demandait aussi aux acheteurs potentiels de remplir un formulaire Google détaillant le niveau de service souhaité et la fréquence d’utilisation prévue des certificats.
Des centaines de machines virtuelles désactivées et 1000 comptes bloqués
Une fois la fraude confirmée, les agents de la DCU ont enquêté sur l’infrastructure de Fox Tempest. Celle-ci comprenait initialement un site web appelé Signspace[dot]cloud, utilisant des fournisseurs d’hébergement légitimes, comme Freak Hosting, basé au Royaume-Uni, et Wavecom, installé en Estonie. Par la suite, l’unité a transféré les domaines malveillants des groupes de cybercriminels vers un serveur de test appartenant à Microsoft, avant de désactiver des centaines de machines virtuelles hébergées sur Cloudzy, un fournisseur de serveurs privés virtuels (VPS) légitime basé à Dubaï, aux Émirats arabes unis. Elle a également supprimé environ 1000 comptes et suspendu le dépôt de l’acteur malveillant.
Les États-Unis, la France et l’Inde en tête des pays les plus ciblés par le réseau de Fox Tempest
Enfin, l’équipe de DCU a contacté le vendeur Fox Tempest pour acheter un certificat, histoire de le narguer. Celui-ci lui a fait part de problèmes rencontrés lors de l’exploitation du service. « Il est paniqué, furieux, il refuse désormais de nous vendre un certificat », a déclaré Maurice Mason, enquêteur principal en matière de cybercriminalité au sein de la DCU. Qu’importe, le boulot était déjà fait. À partir de là, Microsoft a constaté une baisse significative des certificats créés via le portail frauduleux. La firme informatique précise que parmi les pays les plus ciblés par Fox Tempest figuraient les États-Unis, la France et l’Inde. Suivent la Chine, le Brésil, l’Allemagne, le Japon, le Royaume-Uni, l’Italie et l’Espagne.
