Das Cybersicherheitsunternehmen **Microsoft** gab diese Woche bekannt, dass es **Fox Tempest** erfolgreich zerschlagen hat, einen hochentwickelten Dienst, der Cyberkriminellen Code-Signaturfunktionen zur Legitimierung von Malware bot. Diese Operation, die in einer aktuellen Einreichung beim U.S. District Court detailliert beschrieben wird, stört eine kritische Verbindung in der Lieferkette der Cyberkriminalität. ### Fox Tempest: Malware-Signing-as-a-Service **Fox Tempest** operierte seit Mai 2025 als Malware-Signing-as-a-Service (MSaaS) und bot Cyberkriminellen die Möglichkeit, ihren bösartigen Code mit gefälschten Zertifikaten zu signieren. Dies ermöglichte es der Malware, Sicherheitskontrollen zu umgehen und sich als legitime Software auszugeben. Laut **Steven Masada**, stellvertretender General Counsel der Digital Crimes Unit von **Microsoft**, ermöglichte der Dienst Cyberkriminellen die Bereitstellung von Malware und Ransomware, die Tausende von Maschinen infizierte und weltweit Netzwerke kompromittierte. „Bösartige Software, die von Antivirenprogrammen und anderen Schutzmechanismen hätte blockiert oder markiert werden sollen, wurde eher geöffnet, ausgeführt oder Sicherheitsprüfungen bestanden – im Wesentlichen wurde der Malware erlaubt, offen und sichtbar zu agieren“, erklärte er. ### Legitime Code-Signatur als Waffe **Fox Tempest** missbrauchte die **Microsoft** Artifact Signing-Funktion, die zur Überprüfung der Legitimität von Software entwickelt wurde. Durch die Erstellung kurzlebiger, gefälschter Code-Signaturzertifikate ermöglichte die Plattform der Malware, legitimen Anwendungen wie **AnyDesk**, **Teams**, **Putty** und **Webex** zu ähneln, wodurch Sicherheitsmaßnahmen umgangen und die Wahrscheinlichkeit einer erfolgreichen Ausführung erhöht wurde. Ransomware-Affiliates, die mit Gruppen wie **Rhysida**, **INC**, **Qilin** und **Akira** in Verbindung gebracht werden, nutzten Berichten zufolge **Fox Tempest**, um ihre Malware zu legitimieren. Sie luden ihren bösartigen Code auf die Plattform hoch, erhielten signierte Zertifikate und verbreiteten die Malware dann über gefälschte Websites, die darauf ausgelegt waren, legitime Software-Download-Plattformen nachzuahmen. ### Microsofts Reaktion **Microsoft** beschlagnahmte die Website von **Fox Tempest**, legte Hunderte von virtuellen Maschinen lahm und blockierte den Zugriff auf den zugrunde liegenden Code. Sie widerriefen außerdem über 1.000 Code-Signaturzertifikate, die **Fox Tempest** zugeordnet waren. „Wenn Angreifer bösartige Software legitim erscheinen lassen können, untergräbt das, wie Menschen und Systeme entscheiden, was sicher ist. Die Störung dieser Fähigkeit ist entscheidend, um die Kosten der Cyberkriminalität zu erhöhen“, erklärte **Masada**. ### Das MSaaS-Geschäftsmodell **Microsoft** hob hervor, dass **Fox Tempest** als gut ausgestattete Organisation mit Abteilungen für Infrastruktur, Kundenbeziehungen und Finanztransaktionen operierte. Die Plattform erstellte über tausend Zertifikate und richtete Hunderte von **Azure**-Tenants und -Abonnements ein, um ihre Operationen zu unterstützen. Die Analyse von Kryptowährungszahlungen ergab, dass **Fox Tempest** Millionen von Dollar von Ransomware-Affiliates erhalten hat. Der Dienst wurde bei Angriffen auf Organisationen in den USA, China, Frankreich und Indien eingesetzt. Dieses MSaaS-Modell signalisiert eine Veränderung im Ökosystem der Cyberkriminalität, bei der fortschrittliche Dienste in großem Maßstab angeboten werden. Im Gegensatz zu kostengünstigeren Infrastrukturanbietern zeigt **Fox Tempest**, dass hochentwickelte Akteure bereit sind, stark in Fähigkeiten zu investieren, die die Erfolgsraten von Angriffen verbessern und die Wahrscheinlichkeit der Erkennung verringern. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>