Microsoft ha smantellato Fox Tempest, il servizio malware-signing-as-a-service (MSaaS) che ha emesso oltre mille certificati fraudolenti tramite Microsoft Artifact Signing per rendere ransomware e stealers indistinguibili da software legittimi. L’operazione, esposta dal Microsoft Threat Intelligence e dal Digital Crimes Unit, ha permesso a gruppi come Vanilla Tempest e Storm-0501 di distribuire malware come Rhysida, INC, Qilin, Akira, Lumma Stealer e Vidar utilizzando firme valide della durata di sole 72 ore. Il servizio, attivo da maggio 2025, veniva venduto a prezzi compresi tra 5.000 e 9.000 dollari in criptovalute e operava attraverso infrastrutture Azure e macchine virtuali Cloudzy. Microsoft ha revocato tutti i certificati, sequestrato il dominio signspace[.]cloud e disattivato le VM preconfigurate utilizzate dai clienti per firmare i payload malevoli. L’azione riduce drasticamente la capacità dei ransomware di bypassare i controlli di Windows Defender, SmartScreen e delle soluzioni enterprise di sicurezza, colpendo un ecosistema criminale che ha preso di mira sanità, istruzione, governi e finanza in numerosi paesi.
Cosa leggere
Fox Tempest offriva malware-signing-as-a-service a gruppi ransomware
Fox Tempest non attaccava direttamente le vittime ma forniva un servizio di firma malware a gruppi ransomware e operatori cybercrime. Gli attaccanti sfruttavano identità rubate da Stati Uniti e Canada per superare i controlli di verifica di Artifact Signing e ottenere certificati di firma codice a breve durata.
Una volta firmati, i malware impersonavano software legittimi come Microsoft Teams, AnyDesk, PuTTY o Webex. I clienti caricavano i file malevoli tramite un portale web oppure direttamente su VM preconfigurate e ricevevano binari firmati pronti per la distribuzione tramite malvertising, annunci pubblicitari e campagne di SEO poisoning. Microsoft ha tracciato l’attività almeno dal settembre 2025 e ha confermato collegamenti diretti con Vanilla Tempest, che ha utilizzato installer Teams contraffatti firmati da Fox Tempest per distribuire il backdoor Oyster e, in alcuni casi, il ransomware Rhysida. L’intera operazione ha generato milioni di dollari in ricavi per affiliati ransomware e operatori cybercrime collegati.
Signspace[.]cloud gestiva la piattaforma centrale per la firma malware
Il cuore dell’infrastruttura era il portale signspace[.]cloud, attivo dal 29 maggio 2025 fino al 5 maggio 2026. Il servizio consentiva ai clienti di caricare malware e ottenere firme valide attraverso un’interfaccia web dedicata. L’architettura utilizzava centinaia di tenant Azure e un database interno per gestire utenti, file e processi di firma. A partire da febbraio 2026 il gruppo ha introdotto anche VM preconfigurate ospitate su Cloudzy per migliorare sicurezza operativa e ridurre attriti tecnici per i clienti.
Ogni macchina virtuale includeva script PowerShell, file di test firmati e configurazioni già collegate agli endpoint Azure di Artifact Signing. I clienti effettuavano il pagamento tramite Google Form e ricevevano accesso a un canale Telegram dedicato. Il servizio offriva tre livelli di abbonamento da 5.000, 7.500 o 9.000 dollari, con priorità di elaborazione per i pacchetti più costosi.
Questa struttura ha reso la firma di malware accessibile anche a gruppi meno sofisticati, abbassando notevolmente la barriera tecnica necessaria per distribuire ransomware e stealer in modo efficace.
Microsoft revoca oltre mille certificati usati per firmare malware
Il Digital Crimes Unit di Microsoft, in collaborazione con Resecurity e Cloudzy, ha interrotto completamente il servizio nel maggio 2026. Sono stati revocati più di 1.000 certificati di firma codice utilizzati per firmare malware. Il dominio signspace[.]cloud è stato sequestrato mentre le VM ospitate su Cloudzy sono state disabilitate.
Microsoft ha inoltre bloccato gli account Azure abusati e condiviso indicatori di compromissione con il settore cybersecurity. Tra i certificati revocati figurano hash come dc0acb01e3086ea8a9cb144a5f97810d291020ce e 7e6d9dac619c04ae1b3c8c0906123e752ed66d63. I file firmati identificati includono hash SHA-256 collegati a loader di Rhysida, Lumma Stealer e Oyster. L’azione interrompe direttamente la supply chain di firma per numerosi gruppi ransomware e riduce in modo significativo il numero di malware in grado di superare i controlli di sicurezza Windows attraverso firme apparentemente legittime. Microsoft sottolinea che la revoca immediata dei certificati rappresenta un elemento fondamentale per limitare la persistenza delle campagne malevole già distribuite.
Vanilla Tempest e Storm-0501 hanno sfruttato il servizio per ransomware
Le indagini di Microsoft collegano Fox Tempest a numerosi gruppi ransomware e cybercrime. Vanilla Tempest utilizza il servizio almeno da giugno 2025 e ha distribuito installer Microsoft Teams contraffatti firmati digitalmente per installare il backdoor Oyster, ottenere persistenza, raccogliere informazioni e preparare la distribuzione di Rhysida ransomware. Anche gruppi come Storm-0501, Storm-2561 e Storm-0249 hanno sfruttato il servizio per campagne di credential theft e ransomware.
L’analisi delle transazioni in criptovaluta ha confermato ricavi per milioni di dollari collegati agli attacchi condotti tramite l’infrastruttura di Fox Tempest. I settori maggiormente colpiti includono sanità, istruzione, governi e finanza in paesi come Stati Uniti, Francia, India e Cina. Microsoft evidenzia che il servizio ha accelerato notevolmente la diffusione di famiglie ransomware come INC, Qilin, BlackByte e Akira, oltre a stealer come Lumma e Vidar. La possibilità di ottenere rapidamente malware firmato ha aumentato il tasso di successo delle infezioni iniziali e la capacità di bypassare controlli di reputazione software.
I malware firmati aggiravano SmartScreen e Windows Defender
La disponibilità di firme valide, anche se di breve durata, permetteva ai malware distribuiti tramite Fox Tempest di superare i controlli di Windows SmartScreen, Microsoft Defender e numerose soluzioni EDR di terze parti. Gli attaccanti distribuivano i payload firmati attraverso campagne di malvertising, SEO poisoning e annunci apparentemente legittimi, aumentando drasticamente la probabilità di esecuzione da parte delle vittime. Una volta compromesso il sistema, backdoor come Oyster raccoglievano credenziali, eseguivano ricognizione e preparavano il terreno per il deployment ransomware. La revoca di massa dei certificati e la disattivazione dell’infrastruttura costringono ora i gruppi criminali a cercare alternative molto più costose e rischiose. Microsoft sottolinea che l’operazione riduce significativamente la capacità operativa di diversi attori ransomware collegati al servizio. L’episodio dimostra quanto i meccanismi di fiducia basati sulla firma digitale possano essere abusati quando i controlli di verifica identità non risultano sufficientemente robusti.
Microsoft rafforza le difese contro ransomware human-operated
Microsoft invita le organizzazioni a rafforzare immediatamente la postura di sicurezza contro ransomware human-operated e malware firmati. Tra le misure prioritarie indicate figurano igiene delle credenziali, hardening dei sistemi, attivazione della protezione cloud in Microsoft Defender Antivirus, utilizzo di Safe Links e Safe Attachments in Defender for Office 365 e adozione di Microsoft Edge con Defender SmartScreen. L’azienda raccomanda inoltre di abilitare la protezione tamper-resistant, evitare esclusioni antimalware e configurare regole di riduzione della superficie di attacco. Gli ambienti enterprise devono monitorare i certificati revocati e bloccare domini, hash e IOC associati all’operazione Fox Tempest. Microsoft Defender rileva automaticamente payload firmati dal servizio come Trojan:Win64/Oyster, Ransomware:Win64/Rhysida e varie famiglie di stealer. La società evidenzia inoltre l’importanza di MFA phishing-resistant, segmentazione di rete e monitoraggio continuo degli endpoint per limitare la propagazione laterale dopo l’accesso iniziale.
La disarticolazione di Fox Tempest colpisce la supply chain del malware
L’esposizione e la chiusura di Fox Tempest rappresentano un colpo significativo alla supply chain della firma malware. Microsoft dimostra come la collaborazione tra Threat Intelligence, Digital Crimes Unit e partner privati possa neutralizzare infrastrutture fondamentali per il cybercrime moderno. Aziende e utenti finali beneficiano immediatamente della revoca dei certificati e della rimozione del servizio che consentiva a ransomware e stealer di apparire come software affidabili. La lezione principale resta chiara: anche i meccanismi di firma codice legittimi possono essere abusati se non monitorati costantemente e se le verifiche identità risultano insufficienti. La lotta contro il ransomware non passa più soltanto dal blocco dei singoli malware ma anche dalla distruzione dei servizi criminali che industrializzano componenti chiave della catena d’attacco. Vigilanza continua, monitoraggio dei certificati e difese multilivello restano elementi essenziali per contrastare l’evoluzione delle minacce ransomware e degli ecosistemi cybercrime-as-a-service.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
