20 maio Microsoft derruba operação criminosa que oferecia ‘vírus por assinatura’
A Microsoft anunciou a desarticulação de uma operação criminosa de assinatura de malware como serviço (MSaaS, na sigla em inglês). O grupo Fox Tempest explorava o sistema Artifact Signing da própria Microsoft para gerar certificados digitais fraudulentos. Isso permitia que cibercriminosos disfarçassem ransomware e outros malwares como software legítimo.
A operação atingiu milhares de máquinas e redes em todo o mundo, considerando que o Fox Tempest estava ativo desde maio de 2025. A ação da Microsoft, batizada de OpFauxSign, apreendeu o site “signspace[.]cloud”, usado pelo grupo, além de desativar centenas de máquinas virtuais que sustentavam a operação. O acesso a um repositório no GitHub que hospedava o código da infraestrutura também foi bloqueado.
Página de login do serviço criminoso tinha design minimalista. Clientes acessavam o portal após pagamento e entrada na fila de espera. Imagem: Microsoft.
Como funcionava o esquema
O Fox Tempest vendia a capacidade de criar assinaturas digitais fraudulentas para outros criminosos. Basicamente, o serviço permitia que malwares passassem por software confiável aos olhos de sistemas de segurança.
O grupo explorava o Artifact Signing da Microsoft, sistema projetado para verificar que um software é legítimo e não foi adulterado. O Fox Tempest conseguia gerar certificados de curta duração, válidos por apenas 72 horas.
Para obter os certificados, o grupo precisava passar por processos rigorosos de validação de identidade. A Microsoft avalia que o Fox Tempest usou identidades roubadas de pessoas dos Estados Unidos e do Canadá, o que permitiu que o grupo se passasse por entidades legítimas.
Interface do portal signspace[.]cloud permitia upload de arquivos maliciosos. Após envio, os clientes recebiam os binários assinados com certificados controlados pelo Fox Tempest. Imagem: Microsoft.
O serviço operava através do site signspace[.]cloud. Clientes criminosos podiam fazer upload de arquivos maliciosos para serem assinados usando certificados controlados pelo Fox Tempest. O malware então se disfarçava como programas conhecidos como AnyDesk, Microsoft Teams, PuTTY e Cisco Webex.
Preços e modelo de negócio
O serviço custava entre US$ 5 mil e US$ 9 mil, cerca de 25 mil a 45 mil reais em conversão direta. Criminosos preenchiam um formulário no Google Forms, escrito em inglês e russo, para escolher um plano – quem pagava mais recebia prioridade na fila de acesso.
O Fox Tempest também mantinha um canal no Telegram chamado “EV Certs for Sale by SamCodeSign”. O usuário responsável era arbadakarba2000. Ali o grupo se comunicava diretamente com clientes.
A Microsoft revogou mais de mil certificados atribuídos ao Fox Tempest, mesmo assim, o grupo continuou se adaptando.
Tela de conexão remota à máquina virtual fornecida pelo Fox Tempest. Aviso de segurança indica que o certificado não é de autoridade confiável, mas criminosos ignoravam o alerta. Imagem: Microsoft.
Mudança para máquinas virtuais
Em fevereiro de 2026, o Fox Tempest mudou a estratégia operacional. O grupo começou a fornecer máquinas virtuais pré-configuradas hospedadas na Cloudzy, um provedor americano de servidores virtuais.
Os criminosos faziam upload dos arquivos maliciosos diretamente nos ambientes controlados pelo Fox Tempest, e em seguida, recebiam de volta os binários assinados. Isso reduziu o atrito para clientes e melhorou a segurança operacional do grupo.
Formulário em russo e inglês exibia três planos de pagamento para o serviço criminoso. Valores variavam entre 5 mil e 9,5 mil dólares, com prioridade na fila para quem pagasse mais. Imagem: Microsoft.
Dentro das VMs, o Fox Tempest fornecia arquivos necessários para a assinatura. Um deles era o “metadata.json”, que apontava para um endpoint hospedado no Azure. Outro era um script PowerShell usado para assinar os arquivos dos clientes.
Conexão com ransomware Rhysida
O serviço habilitou a distribuição do ransomware Rhysida por grupos como o Vanilla Tempest, que começou a usar o MSaaS do Fox Tempest em junho de 2025.
O Vanilla Tempest distribuía instaladores falsos do Microsoft Teams assinados pelo Fox Tempest, com os arquivos sendo espalhados através de anúncios legítimos comprados pelo grupo. Usuários que buscavam o Microsoft Teams eram redirecionados para páginas de download fraudulentas.
Canal no Telegram usado pelo Fox Tempest para divulgar o serviço de certificados digitais fraudulentos. O perfil tinha 290 assinantes e operava sob o nome “EV Certs for Sale by SamCodeSign”. Imagem: Microsoft.
As vítimas baixavam um arquivo “MSTeamsSetup.exe” malicioso. A execução resultava na instalação do backdoor Oyster, também chamado Broomstick. Esse malware estabelece acesso remoto persistente e permite a entrega de payloads adicionais. Em alguns casos, o Vanilla Tempest também instalou o ransomware Rhysida.
Outros malwares e alvos
A Microsoft identificou que o Fox Tempest habilitou a distribuição de outros malwares, incluindo o Lumma Stealer e o Vidar. A empresa também encontrou ligações do grupo com afiliados de várias famílias de ransomware como INC, Qilin, Akira e BlackByte.
Os ataques atingiram setores de saúde, educação, governo e serviços financeiros nos Estados Unidos, França, Índia e China.
Diagrama mostra cadeia de ataque combinando Fox Tempest e Vanilla Tempest. O esquema parte da criação de tenant Azure fraudulento até a instalação do ransomware Rhysida através de instalador falso do Microsoft Teams. Imagem: Microsoft.
Análises de criptomoedas associadas ao Fox Tempest mostram lucros na casa dos milhões. A Microsoft avalia que o grupo é bem estruturado porque gerencia criação de infraestrutura, relacionamento com clientes e transações financeiras.
A Microsoft informou que o Fox Tempest continua tentando se adaptar. O grupo busca migrar operações e clientes para outro serviço de assinatura de código. A empresa afirmou que vai manter a pressão sobre o grupo e parceiros do setor.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.