La cybersécurité reste un enjeu majeur pour toutes les entreprises et utilisateurs particuliers. Début octobre 2025, Microsoft a annoncé avoir neutralisé une opération sophistiquée visant à tromper les internautes en leur faisant croire qu’ils installaient Microsoft Teams, alors qu’ils installaient en réalité un ransomware. Cette campagne, menée par le groupe Vanilla Tempest, également connu sous les noms de Vice Society et VICE SPIDER, démontre l’ingéniosité croissante des cybercriminels et l’importance de rester vigilant face aux menaces numériques.
Sommaire
Une campagne bien orchestrée : le leurre publicitaire
Cette attaque a été identifiée à la fin septembre 2025 par les équipes de Microsoft Threat Intelligence. Les pirates ont mis en place une mécanique classique mais efficace : les faux installateurs. Les victimes cherchaient simplement à télécharger Teams pour le travail ou les études, mais elles se retrouvaient piégées par des pages web frauduleuses. Ces sites, soigneusement conçus pour ressembler à l’original, affichaient des adresses crédibles telles que teams-download[.]buzz ou teams-install[.]run.
Les internautes téléchargeaient ainsi un fichier nommé MSTeamsSetup.exe, identique au véritable installateur. Mais derrière ce fichier se cachait un logiciel malveillant. Dès son exécution, un loader installait Oyster, une porte dérobée qui permettait aux pirates de garder un accès complet à la machine de la victime. Cette stratégie démontrait l’efficacité du malvertising et la capacité des cybercriminels à exploiter la confiance des utilisateurs dans les logiciels légitimes.
Le rôle de la porte dérobée Oyster
Oyster n’était pas un simple malware : il servait de base pour préparer le terrain au ransomware Rhysida. Grâce à Oyster, les opérateurs de Vanilla Tempest pouvaient voler des données, injecter d’autres charges malveillantes et maintenir un accès distant constant. Ce type de persistance est crucial pour les campagnes d’extorsion, car il permet aux cybercriminels de déclencher le ransomware au moment jugé le plus profitable.
Depuis juin 2025, Vanilla Tempest utilisait Oyster pour ses opérations, mais la signature frauduleuse des fichiers a considérablement augmenté leur capacité à tromper les protections intégrées à Windows. En exploitant Trusted Signing et des services de certification réputés comme SSL.com, DigiCert et GlobalSign, les pirates ont pu faire passer leurs exécutables pour légitimes. Cette astuce souligne à quel point la confiance dans la certification des fichiers peut être manipulée.
La riposte de Microsoft : révocation et détection
Face à cette menace, Microsoft n’est pas resté passif. Début octobre 2025, la firme a révoqué plus de 200 certificats frauduleux utilisés pour signer les fichiers malveillants. Cette révocation massive a permis de couper court à la campagne, bloquant la distribution de l’exécutable MSTeamsSetup.exe et empêchant le déploiement du ransomware Rhysida.
Parallèlement, Microsoft Defender Antivirus a été mis à jour pour détecter toute la chaîne d’infection, depuis le faux installateur jusqu’au ransomware final. Microsoft Defender for Endpoint offre quant à lui des outils pour identifier les tactiques spécifiques de Vanilla Tempest et fournir des recommandations afin de contenir toute tentative d’intrusion. Cette approche illustre l’importance d’une cybersécurité proactive et intégrée.
Une menace persistante
Vanilla Tempest est actif depuis 2021 et s’est forgé une solide réputation dans le monde du cybercrime. Le groupe combine le vol de données et le ransomware pour maximiser ses profits, ciblant régulièrement des écoles, des hôpitaux ou des entreprises industrielles. Avant de se concentrer sur Rhysida, le groupe avait déjà utilisé d’autres ransomware célèbres comme BlackCat, Quantum Locker ou Zeppelin.
Ces attaques démontrent que la sécurité des données ne peut jamais être reléguée au second plan. Les cybercriminels adaptent constamment leurs méthodes, utilisant des stratagèmes de plus en plus sophistiqués pour exploiter les failles humaines et technologiques.
Les bonnes pratiques pour se protéger
Cette opération nous rappelle à quel point il est crucial de rester vigilant lors de l’installation de logiciels. Voici quelques mesures essentielles pour se protéger :
- Télécharger les applications uniquement depuis des sources officielles ou des plateformes vérifiées.
- Éviter de cliquer sur des liens sponsorisés dans les résultats de recherche, surtout lorsqu’ils semblent liés à des logiciels populaires comme Teams.
- Vérifier systématiquement l’URL des sites et la signature des fichiers avant tout téléchargement.
- Maintenir le système d’exploitation et les antivirus à jour pour bénéficier des dernières protections.
En appliquant ces recommandations, il est possible de réduire considérablement les risques liés aux malwares et aux ransomwares. Microsoft insiste sur l’importance de la vigilance, car la simplicité d’un clic peut parfois ouvrir la porte à des attaques complexes et destructrices.
Former et sensibiliser les utilisateurs
Au-delà des outils techniques, la sensibilisation des utilisateurs est un levier indispensable. Former les collaborateurs à identifier les signaux d’alerte, reconnaître les sites frauduleux et comprendre les risques liés aux téléchargements douteux peut limiter les dégâts d’une attaque. La cybersécurité n’est pas seulement l’affaire des systèmes informatiques, mais également des comportements humains.
