O grupo Fox Tempest operou por quase um ano um serviço de assinatura de malware com certificados fraudulentos emitidos pela própria infraestrutura da Microsoft. Por valores entre 5 e 9 mil dólares, criminosos recebiam certificados válidos por 72 horas que faziam ransomware e stealers aparecerem como software legítimo para qualquer antivírus corporativo.
## Como o esquema funcionava
A operação, batizada internamente de “signspace[.]cloud”, durou de maio de 2025 até 19 de maio de 2026, quando a Microsoft executou a operação OpFauxSign para desmantelar a infraestrutura. O Fox Tempest abusou do Microsoft Artifact Signing — o sistema legítimo de assinatura de código da empresa — para gerar mais de mil certificados fraudulentos.
Para sustentar a operação, o grupo criou centenas de tenants e assinaturas Azure. Os certificados emitidos tinham validade de 72 horas, tempo suficiente para que os clientes assinassem seus payloads maliciosos e distribuíssem antes da expiração. Ferramentas de segurança que dependem de validação de assinatura digital consideravam os binários como confiáveis.
Segundo o blog de segurança da Microsoft, o Fox Tempest facilitou o deployment do ransomware Rhysida pelo grupo Vanilla Tempest, além dos stealers Lumma e Vidar. Milhares de máquinas foram comprometidas em múltiplos países através de payloads assinados pelo serviço.
## A operação OpFauxSign
A Digital Crimes Unit da Microsoft obteve ordem judicial para desativar os domínios usados pelo Fox Tempest e revogou mais de mil certificados de assinatura de código atribuídos ao grupo. A Malwarebytes confirmou que a operação deixou o serviço inoperante.
A operação revela uma vulnerabilidade estrutural nos sistemas de assinatura de código: quando o próprio emissor do certificado é a plataforma abusada, a cadeia de confiança inteira é comprometida. Empresas que confiavam exclusivamente na validação de assinatura digital para filtrar executáveis foram expostas a falsos negativos durante quase um ano.
## O que muda para defesa
A Microsoft recomenda que organizações não dependam exclusivamente de assinaturas digitais como indicador de confiança. A detecção deve incluir análise comportamental, reputation scoring e monitoramento de processos em tempo real.
Logs de execução de binários assinados recentemente devem ser auditados com atenção. A Microsoft publicou indicadores de comprometimento no seu blog de segurança, incluindo hashes dos certificados revogados e domínios usados pelo Fox Tempest.
Fontes:
- Microsoft Security Blog — Exposing Fox Tempest: A malware-signing service operation (19 Mai 2026)
- The Hacker News — Microsoft Takes Down Malware-Signing Service
- Malwarebytes — Fake malware-signing service Fox Tempest dismantled
- Redmond Magazine — Microsoft disrupts Fox Tempest
- Infosecurity Magazine — Microsoft Takes Down Fox Tempest