Microsoft zei dinsdag dat het een malware-signing-as-a-service (MSaaS)-operatie heeft verstoord die het Artifact Signing-systeem van het bedrijf heeft ingezet om kwaadaardige code te leveren en ransomware en andere aanvallen uit te voeren, waardoor duizenden machines en netwerken over de hele wereld in gevaar zijn gebracht.
De technologiegigant schreef de activiteit toe aan een bedreigingsacteur die hij noemt Vossenstormdat naar verluidt het MSaaS-programma aanbood om cybercriminelen in staat te stellen malware te vermommen als legitieme software. De dreigingsactor is actief sinds mei 2025. De inbeslagname heeft de codenaam gekregen OpFauxSign.
“Om de service te verstoren, hebben we de signspace(.)cloud van de website van Fox Tempest in beslag genomen, honderden virtuele machines waarop de operatie draait offline gehaald en de toegang geblokkeerd tot een site die de onderliggende code host”, zegt Steven Masada, assistent-algemeen adviseur bij de Digital Crimes Unit van Microsoft.
Microsoft merkte op dat de operatie de inzet van Rhysida-ransomware mogelijk maakte door bedreigingsactoren zoals Vanilla Tempest, samen met andere malwarefamilies zoals Oyster, Lumma Stealer en Vidar, wat de cruciale rol illustreert die Fox Tempest speelt binnen het ecosysteem van cybercriminaliteit.
Bovendien zijn er verbindingen ontdekt tussen de bedreigingsacteur en gelieerde ondernemingen die verband houden met verschillende prominente ransomware-varianten, waaronder INC, Qilin, BlackByte en Akira. De aanvallen die door deze operaties zijn gepleegd, zijn gericht op de gezondheidszorg, het onderwijs, de overheid en financiële diensten in de VS, Frankrijk, India en China.
Artefact Signing (voorheen Azure Trusted Signing) is de volledig beheerde, end-to-end ondertekeningsoplossing van Microsoft waarmee ontwikkelaars eenvoudig applicaties kunnen bouwen en distribueren, terwijl ze ervoor zorgen dat de software legitiem is en niet is gewijzigd door ongeautoriseerde partijen.
Fox Tempest zou dit mechanisme hebben gebruikt om kortstondige, frauduleuze certificaten voor code-ondertekening te genereren en deze te gebruiken om vertrouwde, ondertekende malware te leveren en de beveiligingscontroles te omzeilen. De certificaten waren slechts 72 uur geldig.
“Om legitieme ondertekende certificaten te verkrijgen via Artifact Signing, moet de aanvrager gedetailleerde identiteitsvalidatieprocessen doorlopen in overeenstemming met de industriestandaard verifieerbare inloggegevens (VC), wat suggereert dat de bedreigingsacteur zeer waarschijnlijk gestolen identiteiten in de Verenigde Staten en Canada heeft gebruikt om zich voor te doen als een legitieme entiteit en de benodigde digitale inloggegevens voor ondertekening te verkrijgen”, legt Microsoft uit.
“De SignSpace-website is gebouwd op Artifact Signing en maakt veilige bestandsondertekening mogelijk via een beheerderspaneel en gebruikerspagina, waarbij gebruik wordt gemaakt van Azure-abonnementen, certificaten en een gestructureerde database voor het beheer van gebruikers en bestanden.”
Met deze dienst konden betalende klanten van cybercriminelen kwaadaardige bestanden uploaden voor code-ondertekening met behulp van certificaten die op frauduleuze wijze waren verkregen door Fox Tempest. Hierdoor konden malware en ransomware zich voordoen als legitieme software zoals AnyDesk, Microsoft Teams, PuTTY en Cisco Webex. De servicekosten tussen de $ 5.000 en $ 9.000.
Vanaf februari 2026 zou de bedreigingsacteur zijn overgestapt op het aanbieden van vooraf geconfigureerde virtuele machines (VM’s) aan klanten die op Cloudzy worden gehost, waardoor het mogelijk wordt om de benodigde artefacten rechtstreeks naar de door de aanvaller gecontroleerde infrastructuur te uploaden en in ruil daarvoor ondertekende binaire bestanden te ontvangen.
“Deze infrastructuurevolutie verminderde de wrijving voor klanten, verbeterde de operationele veiligheid voor Fox Tempest en stroomlijnde de levering van kwaadaardige maar vertrouwde, ondertekende malware op grote schaal verder”, aldus Microsoft.
Bedreigingsactoren zoals Vanilla Tempest blijken binaire bestanden te verspreiden die via de dienst zijn ondertekend via legitiem gekochte advertenties die gebruikers die naar Microsoft Teams zochten doorverwezen naar valse downloadpagina’s, wat de weg vrijmaakte voor de inzet van Oyster (ook bekend als Broomstick of CleanUpLoader), een modulair implantaat en lader die verantwoordelijk is voor het leveren van Rhysida-ransomware.
Microsoft zei dat Fox Tempest zijn vak voortdurend heeft aangepast naarmate het bedrijf tegenmaatregelen nam, zoals het uitschakelen van frauduleuze accounts en het intrekken van illegaal verkregen certificaten, waarbij de bedreigingsacteur zelfs probeerde over te schakelen naar een andere dienst voor het ondertekenen van code. Uit gerechtelijke documenten blijkt dat Microsoft tussen februari en maart 2026 samenwerkte met een ‘coöperatieve bron’ om de dienst aan te schaffen en te testen.
“Wanneer aanvallers kwaadaardige software er legitiem uit kunnen laten zien, ondermijnt dit de manier waarop mensen en systemen beslissen wat veilig is”, aldus Redmond. “Het verstoren van die mogelijkheid is de sleutel tot het verhogen van de kosten van cybercriminaliteit.”
