Fox Tempest : Microsoft démantèle un MSaaS criminel

Un service criminel adossé à l'infrastructure Microsoft

Le 19 mai 2026, la Digital Crimes Unit (DCU) de Microsoft a révélé avoir démantelé Fox Tempest, un acteur de la menace financièrement motivé opérant un modèle commercial inédit dans l'écosystème cybercriminel : le malware-signing-as-a-service (MSaaS). Concrètement, Fox Tempest offrait à d'autres groupes malveillants la possibilité de faire certifier leurs logiciels malveillants avec des certificats de signature de code apparemment légitimes, émis par Microsoft elle-même via sa plateforme Artifact Signing, anciennement dénommée Azure Trusted Signing. Ce service offensif permettait aux malwares certifiés de contourner des solutions de sécurité reposant sur la vérification de l'authenticité et de la réputation des binaires.

Sous Windows, un exécutable portant une signature de code valide délivrée par un émetteur reconnu bénéficie d'une confiance implicite dans de nombreux environnements d'entreprise. Les solutions EDR, les politiques Windows Defender Application Control (WDAC), AppLocker, ainsi que les filtres de messagerie et proxies web inspectant les pièces jointes accordent tous un crédit accru aux binaires signés. C'est précisément cette confiance que Fox Tempest a monétisée, en proposant à ses clients criminels d'habiller leurs malwares d'un certificat de légitimité officiel — sans que ceux-ci aient besoin de compromettre eux-mêmes une autorité de certification ou de gérer une infrastructure Azure.

Fox Tempest a détourné le mécanisme d'Artifact Signing en créant des centaines de tenants Azure fictifs et d'abonnements associés pour obtenir des certificats éphémères, valides seulement 72 heures. Cette durée délibérément courte constituait une double stratégie défensive : elle réduisait l'exposition au risque de révocation (le certificat expirait avant qu'une procédure formelle puisse être déclenchée), tout en demeurant amplement suffisante pour déployer un malware, établir une persistance initiale et amorcer une chaîne d'attaque. Au total, plus de mille certificats frauduleux ont été émis et utilisés dans des campagnes d'attaques au cours de la période d'activité du groupe, selon le bilan publié par Microsoft Security.

Le service était commercialisé via le portail signspace[.]cloud, désormais saisi par Microsoft. Les clients de Fox Tempest y soumettaient leurs fichiers malveillants et recevaient en retour des binaires signés numériquement, sans avoir à gérer directement l'infrastructure Azure nécessaire. Ce modèle as-a-service abaissait considérablement la barrière à l'entrée : nulle compétence technique avancée n'était requise. Selon BleepingComputer et The Hacker News, qui ont documenté l'affaire dès le 20 mai 2026, cette offre a été activement exploitée par plusieurs acteurs de la menace distincts pour des campagnes de ransomware et d'autres opérations malveillantes tout au long de 2025 et du début 2026.

En février 2026, Fox Tempest a modernisé son infrastructure pour renforcer sa résilience. Le groupe a migré vers des machines virtuelles préconfigurées hébergées chez le fournisseur américain Cloudzy. Les clients obtenaient l'accès à ces VM, y déposaient directement leurs fichiers malveillants et récupéraient les binaires signés en retour. Cette architecture supprimait les étapes intermédiaires, réduisait la traçabilité des transactions depuis les systèmes de Microsoft, et rendait le service plus résilient aux tentatives de démantèlement ciblant un point unique.

Les malwares distribués via Fox Tempest ont servi des attaques de ransomware mais également d'autres opérations malveillantes : vol de données, fraude financière, espionnage industriel. Le rapport de la DCU indique que l'opération a alimenté activement de multiples acteurs distincts pendant la majorité de 2025 et les premiers mois de 2026, contribuant à l'escalade des incidents impliquant des malwares signés numériquement capables d'échapper aux contrôles traditionnels. SecurityWeek a noté dans sa couverture que plusieurs victimes de ransomware de la période concernée avaient trouvé lors d'analyses post-incident des traces de binaires signés par des certificats Artifact Signing à durée de vie très courte.

L'action coordonnée de la DCU a combiné plusieurs vecteurs de neutralisation simultanés. Microsoft a procédé à la saisie du domaine signspace[.]cloud. Des centaines de machines virtuelles opérées par Fox Tempest ont été mises hors ligne. L'accès à l'infrastructure cloud sous-jacente a été révoqué. Et surtout, plus de mille certificats de signature de code ont été révoqués, invalidant rétroactivement les binaires malveillants déjà déployés. Pour les organisations disposant de mécanismes de vérification de révocation opérationnels (OCSP, CRL à jour), cette action transforme des malwares jusqu'alors vus comme approuvés en exécutables désormais identifiés comme compromis.

La DCU s'appuie régulièrement sur des mécanismes juridiques — notamment des ordonnances civiles de saisie de domaines obtenues auprès de tribunaux américains — pour démanteler des infrastructures criminelles. Cette approche a précédemment été utilisée contre des botnets comme Trickbot, des groupes APT étatiques, et des opérations de phishing à grande échelle. Dans le cas de Fox Tempest, Microsoft a indiqué avoir collaboré avec des partenaires industriels dont les identités n'ont pas été précisées, suggérant l'implication possible d'autres éditeurs de sécurité ou de fournisseurs d'hébergement ayant contribué à l'identification de l'infrastructure.

Un nouveau maillon dans la chaîne criminelle as-a-service

L'affaire Fox Tempest illustre la spécialisation et la professionnalisation croissantes des services offensifs en mode as-a-service. Après les ransomware-as-a-service (RaaS), les initial access brokers (IAB), les phishing-as-a-service et les DDoS-for-hire, le MSaaS représente une nouvelle couche de valeur ajoutée dans la chaîne d'approvisionnement criminelle. Chaque maillon se spécialise dans une capacité précise et la monétise auprès des autres acteurs de l'écosystème. Cette fragmentation démultiplie le nombre d'acteurs potentiellement capables de déployer des malwares bénéficiant d'une signature numérique de confiance, complexifiant la détection et l'attribution.

L'abus des services cloud légitimes pour la signature frauduleuse de code pose un défi structurel aux équipes de sécurité. Des précédents notables existent : le groupe Lapsus$ avait en 2022 compromis des certificats de signature de pilotes Nvidia pour certifier des malwares, et la campagne SolarWinds de 2020 avait démontré comment la confiance dans la chaîne de signature d'un éditeur légitime pouvait être détournée à grande échelle. Fox Tempest illustre une évolution : plutôt que de compromettre des entités tierces, les attaquants exploitent directement les mécanismes de certification du fournisseur en abusant de ses processus d'accès ouverts. Cette approche est plus scalable et plus difficile à attribuer.

Pour les responsables de la sécurité, cette affaire soulève des questions importantes sur l'efficacité des politiques de contrôle des applications basées uniquement sur la validité de la signature. Les règles WDAC ou AppLocker reposant sur des critères génériques (tout exécutable signé Microsoft est autorisé) ne sont plus suffisantes. Il convient d'enrichir ces politiques avec des contrôles sur l'identité précise de l'émetteur du certificat (Subject, OID, chaîne d'émission) et sur la durée de validité — une validité de 72 heures doit être suspecte pour tout logiciel d'entreprise légitime. Les solutions EDR avec analyse comportementale post-exécution constituent un filet de sécurité complémentaire indispensable, détectant les comportements malveillants indépendamment de la présence d'une signature valide.

La révocation en masse de plus de mille certificats par Microsoft est une action défensive significative, dont l'efficacité dépend cependant de la capacité des organisations à vérifier en temps réel le statut de révocation. De nombreux environnements d'entreprise désactivent les vérifications OCSP et les téléchargements de CRL pour des raisons de performance dans les réseaux segmentés ou sans accès internet direct. Ces environnements restent potentiellement exposés à des malwares signés par des certificats révoqués non vérifiés. Cette affaire devrait inciter les équipes sécurité à auditer leurs configurations de vérification de révocation et à implémenter une politique active sur tous les endpoints critiques.

Ce qu'il faut retenir

• Fox Tempest proposait un service commercial (MSaaS) de signature frauduleuse de malwares en abusant de Microsoft Artifact Signing, avec plus de 1 000 certificats éphémères de 72 heures émis pour des clients cybercriminels.
• La DCU de Microsoft a saisi signspace[.]cloud, mis hors ligne des centaines de VM hébergées chez Cloudzy, et révoqué l'ensemble des certificats frauduleux — invalidant rétroactivement les binaires déjà déployés.
• Les organisations doivent aller au-delà des politiques de contrôle basées sur la simple validité de signature, vérifier l'identité précise des émetteurs, la durée de validité des certificats, et activer la vérification de révocation OCSP/CRL sur tous leurs endpoints critiques.