A Microsoft anunciou a desarticulação de uma sofisticada operação de malware como serviço (MSaaS) utilizada para distribuir ransomware e outros softwares maliciosos disfarçados de programas legítimos. O grupo responsável, identificado como Fox Tempest, explorava uma ferramenta da própria Microsoft para gerar certificados digitais fraudulentos.
A ação, chamada de OpFauxSign, resultou na apreensão do domínio “signspace[.]cloud”, usado pela quadrilha, além da derrubada de centenas de máquinas virtuais que sustentavam a infraestrutura criminosa. A empresa também bloqueou o acesso a um repositório no GitHub utilizado pelo grupo.
Segundo a Microsoft, a operação criminosa estava ativa desde maio de 2025 e afetou milhares de máquinas e redes em diferentes países.
Como funcionava o esquema
O Fox Tempest operava um serviço clandestino de assinatura digital para cibercriminosos. Na prática, o grupo permitia que malwares fossem assinados digitalmente, fazendo com que sistemas de segurança interpretassem os arquivos como programas confiáveis.
Para isso, os criminosos exploravam o sistema Artifact Signing, tecnologia da Microsoft usada para validar a autenticidade de softwares e garantir que eles não foram alterados.
A quadrilha conseguia emitir certificados digitais temporários, válidos por apenas 72 horas. Mesmo com curta duração, o tempo era suficiente para distribuir malwares antes da revogação das credenciais.
De acordo com a investigação, o grupo utilizava identidades roubadas de cidadãos dos Estados Unidos e do Canadá para passar pelos processos de validação exigidos pela Microsoft.
Malware se passava por programas conhecidos
O serviço funcionava através do site signspace[.]cloud, onde clientes criminosos enviavam arquivos maliciosos para receber assinaturas digitais fraudulentas.
Depois de assinados, os malwares se disfarçavam como aplicativos populares, incluindo:
- AnyDesk;
- Microsoft Teams;
- PuTTY;
- Cisco Webex.
Isso aumentava significativamente as chances de as vítimas executarem os arquivos sem suspeitas.
Modelo de negócio milionário
O Fox Tempest cobrava entre US$ 5 mil e US$ 9 mil pelo serviço, valores que equivalem a aproximadamente R$ 25 mil a R$ 45 mil em conversão direta.
Os clientes escolhiam planos através de formulários hospedados no Google Forms, disponíveis em inglês e russo. Quem pagava mais recebia prioridade na fila de assinatura dos arquivos.
Além disso, o grupo mantinha um canal no Telegram chamado “EV Certs for Sale by SamCodeSign”, usado para negociação direta com criminosos interessados no serviço.
Mesmo após a Microsoft revogar mais de mil certificados ligados à operação, o grupo continuou adaptando sua infraestrutura.
Migração para máquinas virtuais
Em fevereiro de 2026, os criminosos alteraram a estratégia operacional e passaram a oferecer máquinas virtuais pré-configuradas hospedadas na Cloudzy, empresa americana de servidores virtuais.
Nesse novo modelo, os clientes faziam upload dos malwares diretamente em ambientes controlados pelo Fox Tempest. Em seguida, recebiam os arquivos já assinados digitalmente.
A estrutura incluía arquivos como:
- “metadata.json”, responsável por conectar a um endpoint hospedado no Azure;
- Scripts em PowerShell usados para automatizar o processo de assinatura dos arquivos.
Segundo a Microsoft, a mudança reduziu o risco operacional para os clientes criminosos e tornou o serviço ainda mais eficiente.
Ligação com o ransomware Rhysida
As investigações apontam que o Fox Tempest teve participação direta na disseminação do ransomware Rhysida, utilizado por grupos como o Vanilla Tempest.
Desde junho de 2025, o Vanilla Tempest passou a distribuir versões falsas do Microsoft Teams assinadas digitalmente pelo Fox Tempest.
Os criminosos compravam anúncios legítimos para direcionar usuários a páginas fraudulentas de download. As vítimas acabavam baixando um arquivo chamado “MSTeamsSetup.exe”, aparentemente legítimo.
Após a execução, o arquivo instalava o backdoor Oyster, também conhecido como Broomstick, malware capaz de manter acesso remoto persistente ao dispositivo infectado e abrir caminho para cargas maliciosas adicionais.
Em alguns casos, o ataque evoluía para a instalação do ransomware Rhysida.
Outros malwares e setores afetados
A Microsoft também identificou ligações do Fox Tempest com outros malwares conhecidos, incluindo:
- Lumma Stealer;
- Vidar.
Além disso, o grupo mantinha conexões com afiliados de famílias de ransomware como:
- INC;
- Qilin;
- Akira;
- BlackByte.
Os ataques atingiram organizações dos setores de saúde, educação, governo e serviços financeiros em países como Estados Unidos, França, Índia e China.
Análises de movimentações em criptomoedas indicam que a operação gerou lucros milionários para os criminosos.
Microsoft afirma que grupo ainda tenta se reorganizar
Apesar da ofensiva, a Microsoft afirmou que o Fox Tempest continua tentando migrar clientes e infraestrutura para novos serviços de assinatura digital.
A empresa declarou que seguirá trabalhando com parceiros do setor de segurança para impedir que o grupo retome as operações em larga escala.
O caso reforça o crescimento do modelo “crime como serviço”, no qual grupos especializados oferecem infraestrutura pronta para outros criminosos realizarem ataques digitais sem necessidade de conhecimento técnico avançado.
