Microsoft оголосив 16 жовтня 2025 року про переривання кампанії ransomware, приписаної групі Vanilla Tempest, також відомій як Vice Spider та Vice Society. Ця група активна з 2021 року, переважно націлена на сектори освіти та охорони здоров’я. Раніше вона мала власний сайт для витоків даних до 2023 року, коли з’явився ransomware Rhysida. Vanilla Tempest використовувала різні шифратори в атаках, включаючи BlackCat, Quantum Locker та Zeppelin, але останнім часом фокусувалася на Rhysida. Кампанія включала фальшиві файли налаштування Microsoft Teams для встановлення бекдора Oyster, який полегшує розгортання Rhysida. Ці фальшиві інсталятори розміщувалися на доменах як teams-download.buzz та teams-install.run, з жертвами, ймовірно, залученими через SEO-отруєння. Під час виконання файли запускали завантажувач, який завантажував підписану версію бекдора Oyster, яку група використовувала з червня 2025 року та почала підписувати на початку вересня. Для підпису фальшивих інсталяторів та інструментів після компрометації Vanilla Tempest використовувала послуги Trusted Signing, SSL.com, DigiCert та GlobalSign.

На початку жовтня Microsoft скасував понад 200 сертифікатів, експлуатованих кіберзлочинцями, роблячи поширюване шкідливе ПЗ легшим для виявлення та блокування. Ця дія має негайний значний вплив на операцію кіберзлочинності. Однак загрозники, ймовірно, отримають нові сертифікати та трохи адаптують тактику. Стаття не надає явних рекомендацій, окрім заходів переривання, вжитих Microsoft. Цей інцидент підкреслює вразливості в ланцюгах постачань та необхідність посиленого моніторингу цифрових підписів для запобігання подібним атакам.