**Microsoft** derrubou uma operação significativa de Malware-Signing-as-a-Service (MSaaS) que abusou de seu próprio serviço **Azure Artifact Signing**. A operação, conduzida por atores de ameaça rastreados como **Fox Tempest**, gerou certificados de assinatura de código fraudulentos usados por grupos de ransomware e outros cibercriminosos. ### Abuso do Azure Artifact Signing **Azure Artifact Signing** (anteriormente Trusted Signing) é um serviço baseado em nuvem lançado pela **Microsoft** em 2024, projetado para permitir que desenvolvedores assinem facilmente seus programas. No entanto, **Fox Tempest** explorou este serviço para criar certificados de curta duração, permitindo que o malware fosse assinado digitalmente e confiável como software legítimo tanto por usuários quanto por sistemas operacionais. A **Microsoft** relata que o ator de ameaça com motivação financeira criou mais de 1.000 certificados e centenas de tenants e assinaturas do **Azure** como parte da operação. Eles também deslacraram um caso legal no Tribunal Distrital dos EUA para o Distrito Sul de Nova York visando a operação de cibercrime. "**Fox Tempest** criou mais de mil certificados e estabeleceu centenas de tenants e assinaturas do **Azure** para apoiar suas operações. A **Microsoft** revogou mais de mil certificados de assinatura de código atribuídos a **Fox Tempest**", declarou a **Microsoft**. ### Desmantelamento da Operação MSaaS Em maio de 2026, a Unidade de Crimes Digitais (DCU) da **Microsoft**, com o apoio de parceiros da indústria, desmantelou a oferta MSaaS da **Fox Tempest**, visando a infraestrutura e o modelo de acesso que permitem seu uso criminoso mais amplo. A **Microsoft** apreendeu o domínio signspace[.]cloud usado pelo serviço, tirou centenas de máquinas virtuais ligadas à operação do ar e bloqueou o acesso à infraestrutura que hospeda a plataforma de cibercrime. O site agora redireciona os visitantes para um site operado pela **Microsoft** explicando a apreensão do domínio como parte de um processo contra o esquema de malware-signing-as-a-service. ### Conexões com Malware e Ransomware A operação foi ligada a inúmeras campanhas de malware e ransomware envolvendo Oyster, Lumma Stealer, Vidar, bem como as operações de ransomware Rhysida, Akira, INC, Qilin e BlackByte. Atores de ameaça, incluindo Vanilla Tempest (membros do INC Ransomware), Storm-0501, Storm-2561 e Storm-0249, usaram o malware assinado em seus ataques. A **Microsoft** também nomeou a operação de ransomware Vanilla Tempest como co-conspiradora na ação legal, afirmando que o grupo usou o serviço para distribuir malware e ransomware em ataques visando organizações em todo o mundo. O MSaaS foi operado através do signspace[.]cloud e permitiu que clientes cibercriminosos fizessem upload de arquivos maliciosos para assinatura de código usando certificados obtidos fraudulentamente.  Esses arquivos de malware assinados foram então usados por atores de ameaça para se passar por software legítimo, como **Microsoft Teams**, AnyDesk, PuTTY e Webex, adicionando legitimidade aos downloads. "Quando vítimas desavisadas executavam os arquivos instaladores do **Microsoft Teams** falsamente nomeados, esses arquivos entregavam um loader malicioso, que por sua vez instalava o malware Oyster fraudulentamente assinado e, finalmente, implantava o ransomware Rhysida", afirma a reclamação da **Microsoft**. "Como o malware Oyster foi assinado por um certificado do serviço **Microsoft's Artifact Signing**, o sistema operacional Windows inicialmente reconheceu o malware como software legítimo, quando de outra forma seria sinalizado como suspeito ou bloqueado inteiramente por controles de segurança no sistema operacional Windows." ### Roubo de Identidade e Certificados de Curta Duração A **Microsoft** acredita que os operadores provavelmente usaram identidades roubadas dos Estados Unidos e Canadá para passar pelos requisitos de verificação de identidade do Artifact Signing e obter as credenciais de assinatura. Ao obter certificados, os atores de ameaça teriam usado apenas certificados de curta duração válidos por 72 horas para reduzir o risco de detecção. ### Abuso Anterior do Trusted Signing O BleepingComputer relatou anteriormente em março de 2025 sobre atores de ameaça abusando do serviço Trusted Signing da **Microsoft** para assinar malware usado em uma campanha de roubo de criptomoedas Crazy Evil Traffers e uma campanha Lumma Stealer. Embora esses malwares também tenham sido assinados com certificados de 3 dias, não está claro se foram assinados pela plataforma de cibercrime **Fox Tempest**. ### Evolução das Operações da Fox Tempest A **Microsoft** também detalhou como a **Fox Tempest** evoluiu sua operação no início deste ano, fornecendo aos clientes máquinas virtuais pré-configuradas hospedadas através da infraestrutura Cloudzy. Os clientes faziam upload de malware para os ambientes de VM e recebiam binários assinados usando certificados controlados pela **Fox Tempest**. A plataforma de assinatura de malware foi promovida em um canal do Telegram chamado "EV Certs for Sale by SamCodeSign", com preços variando de US$ 5.000 a US$ 9.000 em bitcoin para acesso à plataforma. A **Microsoft** afirma que a operação gerou milhões de dólares em lucros e é um grupo bem financiado, capaz de gerenciar infraestrutura, relações com clientes e transações financeiras. [](https://hubs.li/Q048zztN0) ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Ferramentas de pentest automatizadas entregam valor real, mas foram construídas para responder a uma pergunta: um invasor pode se mover pela rede? Elas não foram construídas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)