Microsoft disarma Fox Tempest: smantellato il mercato nero dei certificati di

Microsoft disarma Fox Tempest: smantellato il mercato nero dei certificati di

Microsoft ha eseguito il 19 maggio 2026 un'importante operazione di contrasto per smantellare l'infrastruttura di Fox Tempest. Il gruppo, mosso da motivazioni puramente economiche, ha operato per almeno un anno un servizio strutturato di "malware-signing-as-a-service" accessibile tramite un portale web intuitivo. La Digital Crimes Unit (DCU) di Redmond ha rimosso oltre 1.000 account e abbonamenti associati, portando offline centinaia di macchine virtuali dopo aver ottenuto un ordine del tribunale federale.

L'azione ha colpito direttamente un sito che ospitava il codice sorgente del servizio, interrompendo una filiera criminale che permetteva al software malevolo di apparire legittimo agli occhi dei sistemi di difesa. Il sequestro mette in luce una vulnerabilità sistemica nei processi di fiducia digitale globale. I certificati di firma codice, originariamente concepiti per garantire l'integrità del software e l'identità dello sviluppatore, sono stati trasformati in una commodity criminale capace di aprire "porte principali" nei sistemi di settori critici come la sanità, l'istruzione e la finanza.

Come funzionava il malware-signing-as-a-service

Fox Tempest non ha sfruttato vulnerabilità tecniche tradizionali nel codice di Microsoft, né ha violato direttamente i server di Redmond. Il gruppo ha invece puntato sulla manipolazione sofisticata del processo di verifica dell'identità. Attraverso l'impersonificazione di organizzazioni realmente esistenti o la creazione di entità fittizie verosimili, i criminali hanno ottenuto l'accesso regolare al Microsoft Artifact Signing system. Questo ha permesso loro di generare firme digitali formalmente valide e inattaccabili per i loro file malevoli.

L'efficienza operativa del servizio era garantita da un portale autenticato dotato di funzionalità "drag-and-drop". Gli acquirenti potevano semplicemente caricare i propri file binari e ricevere in breve tempo la versione firmata digitalmente. Questa semplificazione ha rimosso le barriere tecniche per numerosi attori criminali, rendendo la distribuzione di malware su larga scala un'operazione simile a un servizio commerciale legittimo. Il software così firmato veniva riconosciuto dai sistemi operativi come sicuro, bypassando i controlli di reputazione standard.

L'abuso del sistema ha permesso a programmi malevoli di eludere sistematicamente i segnali di allarme di Windows SmartScreen e di altri strumenti di protezione. Quando un file è firmato con un certificato considerato affidabile, le difese perimetrali e gli endpoint tendono a concedere privilegi di esecuzione superiori senza allertare l'utente. Fox Tempest ha venduto esattamente questo: la capacità di nascondersi in piena vista, sfruttando gli stessi strumenti che le aziende utilizzano per distinguere il software sicuro da quello dannoso.

"This isn’t the obvious knockoff you might find on a street corner. It’s more like a counterfeit product that’s so precise that even the experts have trouble distinguishing it from the real thing."

Steven Masada, Assistant General Counsel, Microsoft Digital Crimes Unit

I clienti: una rete globale di operatori ransomware

L'indagine della DCU ha rivelato che Fox Tempest fungeva da fornitore logistico essenziale per una vasta gamma di minacce. Tra i clienti identificati figurano operatori ransomware aggressivi come Rhysida, Vanilla Tempest, Storm-0501, Storm-2561 e Storm-0249. Il servizio è stato inoltre collegato a campagne condotte da gruppi come INC, Qilin e Akira, dimostrando la trasversalità dell'infrastruttura di firma nel panorama del cybercrime internazionale guidato dal profitto.

Oltre al ransomware, la firma digitale fraudolenta è stata utilizzata per decine di altre famiglie malware con diverse finalità. Tra queste spiccano Oyster, Lumma Stealer, Vidar e MuddyWater. La varietà dei payload firmati suggerisce che Fox Tempest agisse come un puro abilitatore tecnologico, senza preferenze di target geografico o settoriale, fornendo strumenti di evasione a chiunque fosse disposto a pagare le tariffe di abbonamento richieste dal gruppo.

Il costo per ottenere la firma di un malware poteva arrivare fino a 9.500 dollari. Sebbene possa apparire una cifra significativa, Maurice Mason, principal cybercrime investigator presso la DCU di Microsoft, ha evidenziato la logica economica dietro queste transazioni: "Why wouldn’t you pay those thousands of dollars if you’re a threat actor and you’re getting it back in extortion and ransomware worth millions? This is like chump change to you". Per un gruppo criminale, questo costo rappresenta una frazione minima dei profitti potenziali derivanti da una singola intrusione riuscita.

La sfida della contraffazione di identità digitale

Steven Masada ha descritto l'attività di Fox Tempest come una forma di contraffazione digitale estremamente avanzata. Non si trattava di certificati rubati a sviluppatori legittimi, ma di firme generate ex novo attraverso l'inganno dei protocolli di validazione. Masada ha sottolineato la gravità della situazione affermando: "It acts as a fake ID that lets cybercriminals get into systems by walking right through the front door". Questa capacità di impersonificazione ha garantito al gruppo un'operatività indisturbata per oltre un anno.

L'operazione pone interrogativi critici sul concetto di fiducia basata esclusivamente sulla crittografia. Se il processo di emissione del certificato viene compromesso o raggirato a monte, la validità matematica della firma perde la sua funzione di presidio di sicurezza. Il problema identificato dalla DCU non risiede nella robustezza intrinseca degli algoritmi di cifratura, ma nei processi di "identity proofing". I membri di Fox Tempest hanno dimostrato di saper navigare con successo i flussi burocratici e di verifica dei grandi vendor tecnologici.

La portata dell'attività criminale era tale da influenzare la percezione della sicurezza informatica a livello globale. Masada ha avvertito che l'evoluzione delle minacce sta cambiando profondamente il paradigma difensivo: "It’s no longer just about tricking users to click on a link, it’s about exploiting the very systems that we rely on to decide what is and what isn’t safe". Questo spostamento richiede un approccio che non si limiti alla verifica tecnica del file, ma che analizzi l'intera catena di fiducia dell'identità digitale.

Cosa fare adesso

Lo smantellamento di Fox Tempest offre alle aziende un'importante occasione per revisionare le proprie policy di sicurezza relative al software firmato. Non è più prudente basarsi esclusivamente sulla presenza di una firma digitale valida per autorizzare l'esecuzione di un applicativo all'interno della rete aziendale.

Rafforzare i controlli sulla reputazione del publisher. Le organizzazioni devono implementare soluzioni tecniche che verifichino non solo la validità crittografica del certificato, ma anche la storicità del firmatario. Un certificato emesso molto recentemente a un'entità mai incontrata in precedenza deve essere trattato come un segnale di allerta, specialmente se associato a file eseguibili che richiedono permessi amministrativi.

Monitoraggio comportamentale degli endpoint. Le soluzioni di sicurezza (EDR/XDR) devono essere configurate per analizzare costantemente il comportamento del software, indipendentemente dal fatto che sia firmato o meno. Le policy di "application control" dovrebbero essere dinamiche e capaci di bloccare processi che tentano azioni anomale, come l'esfiltrazione di dati o la comunicazione con indirizzi IP sospetti, anche se il binario appare formalmente legittimo.

Applicazione rigorosa del principio del minimo privilegio. Anche un programma firmato non dovrebbe godere di accesso illimitato alle risorse del sistema operativo. Limitare le capacità di scrittura in directory critiche e monitorare le chiamate di sistema sospette può mitigare l'impatto di un ransomware che sia riuscito a superare le barriere iniziali grazie a un certificato fraudolento ottenuto tramite servizi simili a quello offerto da Fox Tempest.

Procedure di validazione manuale per nuovi software. I dipartimenti IT devono sottoporre a una verifica interna ogni nuovo software o driver che richiede l'installazione a livello di sistema. La fiducia non deve essere più un automatismo basato su una firma; la verifica dell'effettiva esistenza e legittimità dell'azienda produttrice del software è diventata un passaggio necessario prima della distribuzione massiva sui dispositivi aziendali.

Analisi dell'impatto e prospettive future

Microsoft monitorava le attività di Fox Tempest dal settembre 2025, raccogliendo le evidenze necessarie per colpire l'infrastruttura in modo chirurgico e completo. Sebbene l'azione del maggio 2026 abbia rimosso un attore centrale, l'indagine ha rivelato l'esistenza di un mercato nero della fiducia digitale estremamente strutturato. La rimozione di oltre 1.000 account suggerisce una scala di operatività industriale che difficilmente scomparirà del tutto con un singolo intervento legale.

È probabile che la domanda di certificati di firma fraudolenti rimanga elevata tra i gruppi ransomware, vista l'efficacia di questa tecnica nell'eludere le difese tradizionali. Tuttavia, l'azione della Digital Crimes Unit costringe i gruppi criminali a ricostruire interamente le proprie catene di approvvigionamento di identità, aumentando sensibilmente i loro costi operativi e i rischi di esposizione. La collaborazione tra le grandi tech company e le autorità giudiziarie rimane l'unica strada percorribile per perturbare questi ecosistemi complessi.

La lezione per l'intero settore della cybersecurity è inequivocabile: la sicurezza del software non può esaurirsi con una firma digitale. Al contrario, la gestione delle identità è diventata il nuovo fronte primario del conflitto cibernetico. Proteggere l'integrità del sistema di firma codice richiede ora un monitoraggio costante e proattivo non solo degli artefatti digitali, ma dei soggetti che hanno il potere di autenticarli come sicuri.

Nota editoriale: i dettagli di questa operazione provengono dalla Microsoft Digital Crimes Unit (DCU) e dalle indagini documentate da CyberScoop. Le informazioni sono state verificate sulle fonti disponibili e sono aggiornate al momento della pubblicazione del presente rapporto.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://cyberscoop.com/microsoft-digital-crimes-unit-disrupts-fox-tempest/