Microsoft blocca Fox Tempest: smantellato il servizio di firma malware da
Microsoft ha interrotto l'operazione Fox Tempest, un servizio di malware-signing-as-a-service che abusava di Artifact Signing per emettere certificati fraudole…
Contenuto
Il 19 maggio 2026, Microsoft ha annunciato un'operazione coordinata per smantellare l'infrastruttura di Fox Tempest, un fornitore di servizi criminali specializzato nel Malware-Signing-as-a-Service (MSaaS). Sfruttando in modo fraudolento la piattaforma Artifact Signing di Microsoft, questo attore ha permesso a numerosi gruppi ransomware di mascherare i propri payload come software legittimo. L'intervento, condotto dalla Digital Crimes Unit (DCU), ha combinato azioni legali presso il Southern District of New York e contromisure tecniche per neutralizzare l'operazione.
L'operazione ha colpito un'organizzazione che agiva come fornitore di infrastrutture critiche per il cybercrime globale. Attraverso l'uso di identità rubate, Fox Tempest è riuscita a infiltrarsi nei processi di certificazione ufficiale, garantendo ai propri clienti certificati digitali per eludere i controlli di sicurezza degli endpoint. La chiusura di questa infrastruttura interrompe un elemento chiave nella catena di distribuzione del ransomware, colpendo i canali utilizzati dai threat actor per dare parvenza di legittimità al codice malevolo distribuito massivamente su scala internazionale.
- Disruption tecnica: Revocati oltre 1.000 certificati di code signing fraudolenti e sequestrato il dominio principale signspace[.]cloud.
- Abuso di Azure: Fox Tempest ha creato centinaia di tenant e sottoscrizioni Azure utilizzando identità rubate per accedere ai servizi di firma.
- Certificati Short-Lived: Emissione di certificati con validità di sole 72 ore per minimizzare il rilevamento basato sulla reputazione.
- Clienti ransomware: Servizio utilizzato da gruppi come Rhysida, Akira, INC e BlackByte, inclusi i threat actor Storm-0249 e Storm-0501.
- Modello economico: Accessi venduti tra 5.000 e 9.000 dollari in Bitcoin, con profitti complessivi stimati in milioni di dollari.
L'architettura dell'abuso: identità rubate contro Artifact Signing
Fox Tempest ha costruito la propria operazione sfruttando Artifact Signing (precedentemente noto come Trusted Signing), un servizio cloud progettato da Microsoft per semplificare la firma digitale del codice per gli sviluppatori. È fondamentale precisare che l'abuso si è basato interamente sull'impiego di identità fraudolente per superare i controlli iniziali. Non si è trattato di una vulnerabilità tecnica intrinseca della piattaforma, bensì di un aggiramento sistematico dei processi di verifica dell'identità (KYC - Know Your Customer).
Utilizzando queste identità compromesse, gli aggressori hanno stabilito una presenza apparentemente regolare nell'ecosistema Azure, ottenendo la capacità di generare certificati riconosciuti come attendibili dai sistemi operativi Windows. Una volta ottenuta l'autorizzazione, Fox Tempest rivendeva la capacità di firma come servizio ad altri criminali informatici. Attraverso canali Telegram specializzati, come "EV Certs for Sale by SamCodeSign", il gruppo offriva la possibilità di firmare malware per cifre comprese solitamente in una forbice tra 5.000 e 9.000 dollari in Bitcoin.
L'investigatore della Digital Crimes Unit, Maurice Mason, ha sottolineato come questo costo fosse considerato un investimento sostenibile per gli attaccanti. Mason ha dichiarato: "Perché non dovresti pagare quelle migliaia di dollari se sei un threat actor e ne ottieni milioni in estorsioni e ransomware? È come spiccioli per loro". Questa riflessione evidenzia la sproporzione tra il costo del servizio illecito e il potenziale guadagno derivante da una singola intrusione andata a buon fine grazie alla firma digitale.
La variabilità tariffaria osservata nelle indagini indica un servizio strutturato in grado di adattarsi alle diverse richieste del mercato nero. Fox Tempest non si limitava alla vendita di certificati, ma forniva un supporto logistico essenziale per attacchi di alto profilo contro infrastrutture critiche. L'azione della DCU ha colpito duramente questa infrastruttura logistica, portando alla rimozione di centinaia di macchine virtuali (VM) che costituivano il cuore pulsante del servizio di firma distribuito.
Oltre alle VM, Microsoft ha bloccato l'accesso ai siti di hosting del codice utilizzati dai criminali per gestire l'interfaccia del servizio. Questo approccio integrato mira a rendere difficile per Fox Tempest la ricostruzione immediata dell'operatività. Interrompendo la fornitura dei certificati, i canali di comunicazione interna e i sistemi di gestione delle richieste, Microsoft ha imposto un costo operativo significativo al gruppo, degradando temporaneamente le capacità offensive dei suoi numerosi clienti ransomware.
Una flotta di certificati "usa e getta": la strategia delle 72 ore
Un elemento distintivo dell'operatività di Fox Tempest era l'uso di certificati a brevissima scadenza. Ogni certificato emesso tramite l'abuso di Artifact Signing era impostato per essere valido per sole 72 ore. Questa tattica è specificamente studiata per neutralizzare i sistemi di sicurezza che si basano sulla reputazione storica del firmatario. Quando un software viene identificato come sospetto, i meccanismi di difesa richiedono tempo per associare la minaccia a un certificato specifico e bollarlo come pericoloso.
Utilizzando una finestra temporale così ristretta, Fox Tempest assicurava ai suoi clienti che il malware potesse essere distribuito e installato prima che i meccanismi di protezione potessero reagire efficacemente. Steven Masada della Microsoft Digital Crimes Unit ha descritto l'impatto di questa tecnica con una metafora efficace: "Invece di forzare l'ingresso, gli aggressori potevano scivolare dalla porta principale travestendosi da ospiti graditi". Questa capacità di mascheramento ha permesso ai gruppi criminali di bypassare numerosi filtri di integrità del codice.
I payload firmati venivano spesso camuffati da strumenti di produttività comuni per ingannare gli utenti finali durante le fasi iniziali dell'attacco. Tra i software impersonati figurano prodotti estremamente diffusi come Microsoft Teams, AnyDesk, PuTTY e Webex. Vedendo un certificato valido associato a un nome software familiare, gli utenti e gli amministratori di sistema sono stati indotti a concedere permessi di esecuzione elevati, facilitando l'ingresso dei criminali nei perimetri aziendali più protetti.
Questa tecnica di impersonificazione ha facilitato non solo l'infezione iniziale, ma anche il successivo movimento laterale dei gruppi ransomware all'interno delle reti compromesse. Una volta trascorse le 72 ore, il certificato perdeva validità tecnica, ma a quel punto l'infezione era solitamente già stata completata e i privilegi di amministratore già ottenuti. Questo approccio "usa e getta" ha reso estremamente complesso per i ricercatori di sicurezza tracciare l'intera portata dell'operazione per diversi mesi.
La natura temporanea dei certificati ha richiesto un intervento coordinato direttamente alla fonte del servizio di emissione fraudolenta. L'indagine è culminata nel sequestro del dominio signspace[.]cloud, che fungeva da perno centrale per il coordinamento delle attività illecite di Fox Tempest. Attualmente, il dominio è reindirizzato a un avviso ufficiale di Microsoft che informa del sequestro legale, segnando la fine di un'infrastruttura che ha servito i più pericolosi gruppi ransomware dell'ultimo anno.
L'ecosistema criminale: attori e profitti milionari
La rete gestita da Fox Tempest era operativa almeno dal maggio 2025 e fungeva da pilastro per l'economia globale del cybercrime. Tra i principali utilizzatori del servizio figurano diversi gruppi monitorati costantemente da Microsoft Threat Intelligence, tra cui Vanilla Tempest, Storm-0501, Storm-2561 e Storm-0249. Questi attori sono responsabili della distribuzione di varianti ransomware particolarmente aggressive che hanno causato danni ingenti a ospedali, scuole e agenzie governative in tutto il mondo.
I gruppi serviti da Fox Tempest utilizzavano i certificati per distribuire payload di Rhysida, Akira, INC, Qilin e BlackByte. Le indagini finanziarie condotte dalla Digital Crimes Unit indicano che l'operazione ha generato profitti per milioni di dollari in criptovalute. L'analisi delle transazioni Bitcoin legate ai canali di vendita ha mostrato flussi costanti di pagamenti da parte di affiliati ransomware, a conferma di come il Malware-Signing-as-a-Service sia diventato un business model altamente redditizio e scalabile.
Il coinvolgimento di Vanilla Tempest è particolarmente rilevante, essendo stato citato esplicitamente come co-conspiratore nell'azione legale depositata da Microsoft presso la Corte Distrettuale del Southern District of New York. Questo dettaglio evidenzia la profondità della collaborazione tra i fornitori di infrastrutture MSaaS e gli operatori finali del ransomware. Senza la copertura garantita dai certificati di Fox Tempest, molte di queste campagne di infezione avrebbero incontrato ostacoli tecnici significativi o sarebbero state intercettate precocemente.
"Fox Tempest has created over a thousand certificates and established hundreds of Azure tenants and subscriptions to support its operations. Microsoft has revoked over one thousand code signing certificates attributed to Fox Tempest" — Microsoft Threat Intelligence
La rimozione di questo fornitore rappresenta un duro colpo alla catena di approvvigionamento del malware. Forzare i gruppi criminali a cercare alternative più costose, meno affidabili o più facilmente rilevabili rallenta la velocità delle loro operazioni. Tuttavia, Microsoft avverte che la domanda di servizi di firma rimane elevata. La lotta contro Fox Tempest è parte di una strategia più ampia per rendere l'ambiente cloud ostile ai criminali informatici che tentano di abusare di strumenti di sviluppo legittimi.
Cosa fare adesso
L'operazione contro Fox Tempest evidenzia che la sola presenza di una firma digitale non garantisce più l'assoluta sicurezza di un file eseguibile. Le organizzazioni devono aggiornare le proprie strategie di difesa per mitigare i rischi derivanti dall'abuso di servizi di firma ufficiale tramite identità rubate. Ecco le azioni raccomandate per i team di sicurezza:
- Blocco dell'infrastruttura nota: È prioritario monitorare e bloccare ogni tentativo di comunicazione verso il dominio sequestrato
signspace[.]cloude i relativi sottodomini. I log di rete devono essere analizzati retroattivamente per identificare eventuali comunicazioni passate con questa infrastruttura. - Analisi dei certificati a breve termine: Implementare policy di sicurezza sugli endpoint che segnalino file firmati con certificati aventi una validità estremamente limitata (72 ore). Tali file devono essere sottoposti a sandboxing o analisi manuale prima dell'esecuzione in ambienti critici.
- Incrocio Publisher-Fonte: Non fare affidamento esclusivamente sulla validità della firma. I team IT devono verificare che il Publisher dichiarato corrisponda effettivamente alla fonte ufficiale di download. Fox Tempest abusava della fiducia impersonando attivamente Microsoft Teams, AnyDesk, PuTTY e Webex.
- Configurazione OCSP e CRL: Assicurarsi che i sistemi di protezione siano configurati per consultare costantemente i servizi Online Certificate Status Protocol (OCSP) e le Certificate Revocation Lists (CRL). Microsoft ha già revocato oltre 1.000 certificati legati a questo caso specifico.
- Audit dei Tenant Azure: Per le aziende che operano in ambienti cloud, è fondamentale monitorare la creazione di nuovi tenant e l'attivazione di servizi come Trusted Signing. Eventuali anomalie nei dati di registrazione potrebbero indicare l'abuso di identità aziendali per scopi illeciti.
L'intervento contro Fox Tempest dimostra l'efficacia della collaborazione tra intelligence tecnica e azioni legali nel contrastare l'industrializzazione del crimine informatico. Sebbene questa specifica infrastruttura sia stata smantellata, la metodologia basata sull'abuso dei processi di fiducia rimane una minaccia persistente per il settore. La difesa delle moderne reti aziendali richiede ora una verifica più granulare e una costante attenzione alla reputazione reale di chi emette la firma digitale.
In conclusione, il successo di questa operazione non deve indurre a un calo della guardia. La capacità dei criminali di rigenerarsi e di adottare nuove identità richiede un impegno continuo nella verifica delle credenziali digitali. La sicurezza informatica si sposta sempre più verso un modello di "Zero Trust" applicato non solo agli utenti, ma anche all'integrità e alla provenienza del software che viene quotidianamente eseguito all'interno delle infrastrutture critiche.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://www.bleepingcomputer.com/news/security/cybercrime-service-disrupted-for-abusing-microsoft-platform-to-sign-malware/
- https://therecord.media/microsoft-disrupts-fox-tempest-malware-signing-service
- https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/
- https://www.securityweek.com/microsoft-disrupts-malware-signing-service-run-by-fox-tempest/
- https://krebsonsecurity.com/2026/05/canvas-breach-disrupts-schools-colleges-nationwide/