Microsoft agit contre une campagne de ransomware visant Teams

Publié le 17 octobre 2025 à 15:20 par Jérôme G.

Lire sur mobile

En exploitant la confiance des utilisateurs dans des solutions populaires comme Teams, un groupe de cybercriminels a mené une vaste campagne de ransomware. La riposte de Microsoft a été décisive en révoquant 200 certificats frauduleux.

En début de mois, Microsoft a porté un coup d'arrêt significatif à une campagne d'attaque menée par le groupe connu sous le nom de Vanilla Tempest. Plus de 200 certificats numériques utilisés par les attaquants ont été révoqués.

Des malwares étaient déguisés en installateurs légitimes de Microsoft Teams. De faux fichiers MSTeamsSetup.exe afin de tromper les victimes et infecter leurs systèmes.

Le mode opératoire de Vanilla Tempest

Le groupe, également suivi sous les noms de Vice Society et DEV-0832, employait des techniques de référencement malveillant (SEO poisoning) et de publicité en ligne pour diriger les utilisateurs vers de faux sites de téléchargement.

Des domaines comme teams-download[.]buzz, teams-install[.]run ou teams-download[.]top imitaient les pages officielles de Microsoft.

Une fois le fichier MSTeamsSetup.exe exécuté, un loader installait une backdoor Oyster, permettant aux cybercriminels de prendre le contrôle de l'appareil infecté, d'exfiltrer des données et de déployer le ransomware Rhysida.

Comment les attaquants ont-ils pu paraître légitimes ?

La clé de la supercherie résidait dans l'utilisation de certificats de signature de code obtenus frauduleusement.

Microsoft a révélé que Vanilla Tempest utilisait son propre service, Trusted Signing, ainsi que ceux d'autorités de certification reconnues comme SSL.com, DigiCert et GlobalSign.

Bien que l'utilisation de la porte dérobée Oyster par le groupe remonte à juin 2025, c'est à partir de début septembre 2025 qu'il a commencé à signer numériquement leurs outils malveillants, leur conférant une apparence de légitimité difficile à détecter pour les systèmes de sécurité classiques.

Les implications de l'action de Microsoft

En révoquant les certificats, Microsoft rend la détection de ces logiciels malveillants plus simple pour les solutions de sécurité. Le groupe de Redmond précise que " Microsoft Defender Antivirus bloque la menace " et que des protections supplémentaires sont disponibles.

Si l'intervention de Microsoft perturbe l'opération actuelle de Vanilla Tempest, il est probable que les acteurs malveillants s'adaptent et acquièrent de nouveaux certificats.