Microsoft a neutralisé début octobre une opération Rhysida active depuis des mois. Une mécanique bien huilée, menée par Vanilla Tempest, qui misait sur le malvertising et la confiance accordée aux binaires signés.
Les internautes cherchaient à installer Teams, ils récupéraient une porte dérobée. Derrière cette campagne d’usurpation, le groupe Vanilla Tempest, également connu sous les noms de Vice Society et VICE SPIDER, distribuait des exécutables signés pour paraître légitimes. En réalité, le fichier malveillant déposait le malware Oyster, avant de préparer le terrain pour le ransomware Rhysida. Microsoft a fini par remonter la chaîne et couper court à l’attaque en révoquant plus de 200 certificats compromis début octobre.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Leurres publicitaires et faux installateurs, la recette habituelle
C’est fin septembre 2025 que les équipes de Microsoft Threat Intelligence ont clairement identifié une campagne active de diffusion de faux installateurs de Teams, orchestrée par le groupe Vanilla Tempest. Les analystes avaient alors constaté la prolifération de publicités sponsorisées et de liens piégés dans les résultats de recherche web, renvoyant vers des sites de téléchargement frauduleux. Ces pages, calquées sur la version officielle, affichaient des adresses crédibles (teams-download[.]buzz, teams-install[.]run ou encore teams-download[.]top) et distribuaient un exécutable nommé MSTeamsSetup.exe, exactement comme le fichier d'installation légitime.
Une fois lancé, le programme déployait un loader chargé d’installer Oyster, une porte dérobée destinée à assurer la persistance du malware et la communication avec le serveur de commande, offrant aux opérateurs un accès distant complet à la machine. Ils pouvaient alors voler des données, exécuter des commandes, injecter d’autres charges utiles et, à terme, déclencher Rhysida, un ransomware fréquemment utilisé dans des campagnes d’extorsion.
D’après Microsoft, Vanilla Tempest utilisait déjà Oyster depuis juin 2025, mais c’est à la rentrée que le groupe a commencé à signer ses fichiers de manière frauduleuse, en exploitant Trusted Signing ainsi que les services de certification de SSL.com, DigiCert et GlobalSign. Une manipulation qui a permis aux pirates de duper, au moins pour un temps, les dispositifs de protection intégrés à Windows.
Révocation massive et détection renforcée
Début octobre, Microsoft a fini par reprendre la main. Plus de 200 certificats frauduleux ont été révoqués d’un coup, étouffant la campagne, bloquant la distribution du malware et stoppant net le déploiement de Rhysida.
Les protections intégrées à Microsoft Defender Antivirus détectent désormais toute la chaîne d’infection, du faux fichier MSTeamsSetup.exe à la backdoor Oyster, jusqu’au ransomware lui-même. Microsoft Defender for Endpoint repère de son côté les tactiques et techniques propres à Vanilla Tempest et fournit des recommandations pour analyser et contenir les tentatives d’intrusion.
Actif depuis 2021, le groupe s’est forgé une solide réputation dans le cybercrime, mêlant vol de données et ransomware à des fins d’extorsion. Ses campagnes ont déjà visé des écoles, des hôpitaux ou des entreprises industrielles, et ont successivement utilisé BlackCat, Quantum Locker ou Zeppelin avant de concentrer leurs efforts sur Rhysida.
On profitera donc de cette énième opération pour rappeler qu’il est impératif de télécharger ses logiciels depuis des sources fiables, d’éviter les liens sponsorisés dans les résultats de recherche, de vérifier systématiquement l’URL des sites et des fichiers avant tout téléchargement, et surtout de maintenir son système d’exploitation et son antivirus à jour.
