Microsoft ha annunciato di aver neutralizzato un’operazione criminale sofisticata nota come malware-signing-as-a-service (MSaaS), gestita da un gruppo di cybercriminali conosciuto come Fox Tempest. L’operazione, resa pubblica dal Microsoft Threat Intelligence, ha portato anche all’apertura di un procedimento legale presso il Tribunale federale del Distretto Sud di New York.

Al centro della vicenda c’è l’abuso del servizio Azure Artifact Signing (precedentemente noto come Trusted Signing), una piattaforma cloud lanciata da Microsoft nel 2024 che consente agli sviluppatori di ottenere la firma digitale dei propri programmi. Fox Tempest ha sfruttato questo sistema per generare certificati fraudolenti, permettendo a malware di ogni tipo di essere riconosciuto come software legittimo sia dagli utenti, sia dal sistema operativo Windows.

Il meccanismo era tanto semplice quanto pericoloso. I clienti criminali del servizio caricavano i propri file malevoli sulla piattaforma, accessibile tramite il dominio signspace[.]cloud, e ricevevano in cambio binari firmati digitalmente con certificati ottenuti attraverso l’infrastruttura di Microsoft. Per ridurre al minimo il rischio di essere individuati, Fox Tempest utilizzava esclusivamente certificati con durata di 72 ore, abbastanza lunghi da completare una campagna di attacco ma sufficientemente brevi da complicare il tracciamento.

Nel corso dell’intera operazione, il gruppo ha creato oltre 1.000 certificati e centinaia di tenant e sottoscrizioni Azure separati, costruendo un’infrastruttura distribuita e difficile da colpire in un colpo solo. Microsoft stima che l’operazione abbia generato milioni di dollari di profitto, con prezzi al pubblico criminale compresi tra 5.000 e 9.000 dollari in Bitcoin per accedere alla piattaforma. Il servizio veniva pubblicizzato apertamente su un canale Telegram chiamato “EV Certs for Sale by SamCodeSign”.

I file firmati fraudolentemente sono stati utilizzati per impersonare software legittimi e diffusi come Microsoft Teams, AnyDesk, PuTTY e Webex. Quando le vittime eseguivano, ad esempio, un falso installer di Teams, questo installava silenziosamente un loader malevolo che distribuiva il malware Oyster, il quale a sua volta distribuiva il ransomware Rhysida. Poiché il file era firmato con un certificato Microsoft, Windows lo riconosceva come legittimo, bypassando i controlli di sicurezza che normalmente lo avrebbero bloccato.

Microsoft Fox Tempest

L’operazione è stata collegata a numerose campagne malevole che coinvolgono:

  • Malware e stealer: Oyster, Lumma Stealer, Vidar
  • Ransomware: Rhysida, Akira, INC, Qilin, BlackByte
  • Threat actor clienti: Vanilla Tempest (membri di INC Ransomware), Storm-0501, Storm-2561, Storm-0249

Microsoft ha identificato Vanilla Tempest anche come co-cospiratore nel procedimento legale, essendo stato uno dei principali utilizzatori del servizio per distribuire ransomware contro organizzazioni di tutto il mondo.

La risposta di Microsoft e le azioni legali

La Digital Crimes Unit (DCU) di Microsoft, con il supporto di partner del settore, ha condotto un’operazione coordinata che ha portato al sequestro del dominio signspace[.]cloud, ora reindirizzato a una pagina informativa Microsoft, alla disattivazione di centinaia di macchine virtuali legate all’infrastruttura criminale, alla revoca di oltre 1.000 certificati di firma attribuiti a Fox Tempest e al blocco dell’accesso all’intera piattaforma MSaaS.

Per ottenere i certificati aggirando i requisiti di verifica identità di Artifact Signing, i criminali avrebbero utilizzato identità rubate a cittadini statunitensi e canadesi. Più recentemente, il gruppo aveva anche evoluto il proprio modello operativo offrendo ai clienti macchine virtuali preconfigurate tramite infrastruttura Cloudzy, permettendo loro di caricare malware e ricevere binari firmati senza gestire direttamente i certificati.

Da notare che già nel marzo 2025 erano stati segnalati casi di abuso del servizio Trusted Signing in campagne Lumma Stealer e Crazy Evil Traffers, sebbene non sia ancora chiaro se quei casi fossero direttamente riconducibili alla piattaforma Fox Tempest.