A Microsoft anunciou a desarticulação de uma operação criminosa de assinatura de malware como serviço (MSaaS, na sigla em inglês). O grupo Fox Tempest explorava o sistema Artifact Signing da própria Microsoft para gerar certificados digitais fraudulentos. Isso permitia que cibercriminosos disfarçassem ransomware e outros malwares como software legítimo.A operação atingiu milhares de máquinas e redes em todo o mundo, considerando que o Fox Tempest estava ativo desde maio de 2025. A ação da Microsoft, batizada de OpFauxSign, apreendeu o site “signspace[.]cloud”, usado pelo grupo, além de desativar centenas de máquinas virtuais que sustentavam a operação. O acesso a um repositório no GitHub que hospedava o código da infraestrutura também foi bloqueado.Página de login do serviço criminoso tinha design minimalista. Clientes acessavam o portal após pagamento e entrada na fila de espera. Imagem: Microsoft.Como funcionava o esquemaO Fox Tempest vendia a capacidade de criar assinaturas digitais fraudulentas para outros criminosos. Basicamente, o serviço permitia que malwares passassem por software confiável aos olhos de sistemas de segurança.O grupo explorava o Artifact Signing da Microsoft, sistema projetado para verificar que um software é legítimo e não foi adulterado. O Fox Tempest conseguia gerar certificados de curta duração, válidos por apenas 72 horas.Para obter os certificados, o grupo precisava passar por processos rigorosos de validação de identidade. A Microsoft avalia que o Fox Tempest usou identidades roubadas de pessoas dos Estados Unidos e do Canadá, o que permitiu que o grupo se passasse por entidades legítimas.Interface do portal signspace[.]cloud permitia upload de arquivos maliciosos. Após envio, os clientes recebiam os binários assinados com certificados controlados pelo Fox Tempest. Imagem: Microsoft.O serviço operava através do site signspace[.]cloud. Clientes criminosos podiam fazer upload de arquivos maliciosos para serem assinados usando certificados controlados pelo Fox Tempest. O malware então se disfarçava como programas conhecidos como AnyDesk, Microsoft Teams, PuTTY e Cisco Webex.Preços e modelo de negócioO serviço custava entre US$ 5 mil e US$ 9 mil, cerca de 25 mil a 45 mil reais em conversão direta. Criminosos preenchiam um formulário no Google Forms, escrito em inglês e russo, para escolher um plano – quem pagava mais recebia prioridade na fila de acesso.O Fox Tempest também mantinha um canal no Telegram chamado "EV Certs for Sale by SamCodeSign". O usuário responsável era arbadakarba2000. Ali o grupo se comunicava diretamente com clientes.A Microsoft revogou mais de mil certificados atribuídos ao Fox Tempest, mesmo assim, o grupo continuou se adaptando.Tela de conexão remota à máquina virtual fornecida pelo Fox Tempest. Aviso de segurança indica que o certificado não é de autoridade confiável, mas criminosos ignoravam o alerta. Imagem: Microsoft.Mudança para máquinas virtuaisEm fevereiro de 2026, o Fox Tempest mudou a estratégia operacional. O grupo começou a fornecer máquinas virtuais pré-configuradas hospedadas na Cloudzy, um provedor americano de servidores virtuais.Os criminosos faziam upload dos arquivos maliciosos diretamente nos ambientes controlados pelo Fox Tempest, e em seguida, recebiam de volta os binários assinados. Isso reduziu o atrito para clientes e melhorou a segurança operacional do grupo.Formulário em russo e inglês exibia três planos de pagamento para o serviço criminoso. Valores variavam entre 5 mil e 9,5 mil dólares, com prioridade na fila para quem pagasse mais. Imagem: Microsoft.Dentro das VMs, o Fox Tempest fornecia arquivos necessários para a assinatura. Um deles era o “metadata.json”, que apontava para um endpoint hospedado no Azure. Outro era um script PowerShell usado para assinar os arquivos dos clientes.Conexão com ransomware RhysidaO serviço habilitou a distribuição do ransomware Rhysida por grupos como o Vanilla Tempest, que começou a usar o MSaaS do Fox Tempest em junho de 2025.O Vanilla Tempest distribuía instaladores falsos do Microsoft Teams assinados pelo Fox Tempest, com os arquivos sendo espalhados através de anúncios legítimos comprados pelo grupo. Usuários que buscavam o Microsoft Teams eram redirecionados para páginas de download fraudulentas.Canal no Telegram usado pelo Fox Tempest para divulgar o serviço de certificados digitais fraudulentos. O perfil tinha 290 assinantes e operava sob o nome "EV Certs for Sale by SamCodeSign". Imagem: Microsoft.As vítimas baixavam um arquivo “MSTeamsSetup.exe” malicioso. A execução resultava na instalação do backdoor Oyster, também chamado Broomstick. Esse malware estabelece acesso remoto persistente e permite a entrega de payloads adicionais. Em alguns casos, o Vanilla Tempest também instalou o ransomware Rhysida.Outros malwares e alvosA Microsoft identificou que o Fox Tempest habilitou a distribuição de outros malwares, incluindo o Lumma Stealer e o Vidar. A empresa também encontrou ligações do grupo com afiliados de várias famílias de ransomware como INC, Qilin, Akira e BlackByte.Os ataques atingiram setores de saúde, educação, governo e serviços financeiros nos Estados Unidos, França, Índia e China.Diagrama mostra cadeia de ataque combinando Fox Tempest e Vanilla Tempest. O esquema parte da criação de tenant Azure fraudulento até a instalação do ransomware Rhysida através de instalador falso do Microsoft Teams. Imagem: Microsoft.Análises de criptomoedas associadas ao Fox Tempest mostram lucros na casa dos milhões. A Microsoft avalia que o grupo é bem estruturado porque gerencia criação de infraestrutura, relacionamento com clientes e transações financeiras.A Microsoft informou que o Fox Tempest continua tentando se adaptar. O grupo busca migrar operações e clientes para outro serviço de assinatura de código. A empresa afirmou que vai manter a pressão sobre o grupo e parceiros do setor.Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.