Fox Tempest : démantèlement d'un service de signature de malwares (MSaaS) par Microsoft

🔍 Contexte

Le 19 mai 2026, Microsoft Threat Intelligence publie une analyse détaillée sur Fox Tempest, un acteur cybercriminel à motivation financière opérant un service de signature de malwares à la demande (Malware Signing-as-a-Service, MSaaS). En mai 2026, la Digital Crimes Unit (DCU) de Microsoft, avec le soutien de partenaires industriels, a procédé au démantèlement de l’infrastructure de ce service.

🎯 Rôle et impact de Fox Tempest

Fox Tempest ne cible pas directement des victimes mais fournit une infrastructure de support à d’autres groupes cybercriminels. Microsoft suit cet acteur depuis septembre 2025. Les groupes ayant utilisé ses services incluent :

• Vanilla Tempest
• Storm-0501
• Storm-2561
• Storm-0249

Des liens ont également été établis avec des affiliés ransomware distribuant INC, Qilin, Akira, Rhysida et d’autres familles. Les produits criminels observés se chiffrent en millions de dollars.

Les secteurs impactés incluent la santé, l’éducation, le gouvernement et les services financiers, avec des victimes aux États-Unis, en France, en Inde et en Chine.

🛠️ Infrastructure MSaaS

Le service était accessible via le site signspace[.]cloud, désormais hors ligne. Il permettait à des clients criminels d’obtenir des certificats Microsoft de courte durée (72h) via Azure Artifact Signing (anciennement Azure Trusted Signing), en usurpant des identités volées basées aux États-Unis et au Canada.

Les malwares signés se faisaient passer pour des logiciels légitimes : AnyDesk, Teams, PuTTY, Webex.

Un dépôt GitHub nommé code-signing-service contenait des fichiers de configuration liés à l’infrastructure de signspace[.]cloud.

Tarification du service :

• Plans à 5 000 $, 7 500 $ ou 9 000 $ USD
• Formulaire Google en anglais et en russe
• Communication via Telegram (canal : EV Certs for Sale by SamCodeSign, compte : arbadakarba2000)

Évolution en février 2026 : Fox Tempest a migré vers des machines virtuelles préconfigurées hébergées chez le fournisseur VPS Cloudzy, permettant aux clients de téléverser directement leurs fichiers malveillants et de recevoir des binaires signés.

📦 Cas d’usage : Vanilla Tempest

Depuis juin 2025, Vanilla Tempest utilisait Fox Tempest pour signer des installateurs Microsoft Teams trojanisés (MSTeamsSetup.exe), distribués via des publicités légitimes achetées et des pages de téléchargement frauduleuses. L’exécution déployait le backdoor Oyster (alias Broomstick), et dans certains cas, le ransomware Rhysida.

📋 Type d’article

Il s’agit d’une analyse de menace publiée par Microsoft Threat Intelligence, visant à documenter le fonctionnement du MSaaS Fox Tempest, à exposer ses liens avec l’écosystème ransomware, et à fournir des IOCs, détections et recommandations aux défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

• Fox Tempest (cybercriminal) —
• Vanilla Tempest (cybercriminal) — orkl.eu · Malpedia
• Storm-0501 (cybercriminal) — orkl.eu · Malpedia · MITRE ATT&CK
• Storm-2561 (cybercriminal) — orkl.eu · Malpedia
• Storm-0249 (cybercriminal) — orkl.eu · Malpedia

TTP

• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
• T1036.001 — Masquerading: Invalid Code Signature (Defense Evasion)
• T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1583.003 — Acquire Infrastructure: Virtual Private Server (Resource Development)
• T1588.003 — Obtain Capabilities: Code Signing Certificates (Resource Development)
• T1608.003 — Stage Capabilities: Install Digital Certificate (Resource Development)
• T1566.002 — Phishing: Spearphishing Link (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
• T1486 — Data Encrypted for Impact (Impact)
• T1078 — Valid Accounts (Defense Evasion)
• T1056 — Input Capture (Collection)

IOC

• Domaines : signspace.cloud — VT · URLhaus · ThreatFox
• SHA256 : f0668ce925f36ff7f3359b0ea47e3fa243af13cd6ad9661dfccc9ff79fb4f1cc — VT · MalwareBazaar
• SHA256 : 11af4566539ad3224e968194c7a9ad7b596460d8f6e423fc62d1ea5fc0724326 — VT · MalwareBazaar
• SHA256 : f0a6b89ec7eee83274cd484cea526b970a3ef28038799b0a5774bb33c5793b55 — VT · MalwareBazaar
• SHA1 : dc0acb01e3086ea8a9cb144a5f97810d291020ce — VT · MalwareBazaar
• SHA1 : 7e6d9dac619c04ae1b3c8c0906123e752ed66d63 — VT · MalwareBazaar
• Fichiers : MSTeamsSetup.exe
• Fichiers : metadata.json
• Fichiers : test.js
• Fichiers : PS code sample.txt

Malware / Outils

• Oyster (backdoor)
• Lumma Stealer (stealer)
• Vidar (stealer)
• Rhysida (ransomware)
• INC (ransomware)
• Qilin (ransomware)
• Akira (ransomware)
• BlackByte (ransomware)

🟢 Indice de vérification factuelle : 95/100 (haute)

• ✅ microsoft.com — source reconnue (liste interne) (20pts)
• ✅ 19333 chars — texte complet (fulltext extrait) (15pts)
• ✅ 10 IOCs dont des hashes (15pts)
• ✅ 3/4 IOCs confirmés (MalwareBazaar, ThreatFox, URLhaus, VirusTotal) (15pts)
• ✅ 13 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ✅ acteur(s) identifié(s) : Fox Tempest, Vanilla Tempest, Storm-0501 (5pts)
• ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

• f0668ce925f36ff7… (sha256) → VT (21/76 détections)
• 11af4566539ad322… (sha256) → VT (22/76 détections)
• f0a6b89ec7eee832… (sha256) → VT (30/77 détections)

🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/05/19/exposing-fox-tempest-a-malware-signing-service-operation/