Auf den Punkt: Fox Tempest betrieb einen Malware-Signierdienst für Ransomware-Banden, das Microsoft mit der Operation OpFauxSign durch Serverabschaltung und Webseitenbeschlagnahmen unterbunden hat.
Microsoft hat eine kriminelle Infrastruktur zerschlagen, die das eigene Artifact-Signing-System zur Ausstellung gefälschter Code-Signaturzertifikate missbrauchte. Die sogenannte Fox Tempest beschaffte sich damit Legitimität für Ransomware und Malware, die weltweit tausende Systeme kompromittierten.
Microsoft hat eine Malware-Signing-as-a-Service-Operation (MSaaS) unter dem Namen Fox Tempest zerschlagen, die seit Mai 2025 aktiv war. Das Unternehmen beschlagnahmte die Website signspace[.]cloud, nahm hunderte virtuelle Maschinen der Operation offline und sperrte Zugriffe auf Server mit der zugrundeliegenden Infrastruktur. Die Aktion trägt den Codenamen OpFauxSign.
Fox Tempest nutzte Microsofts Artifact-Signing-System (ehemals Azure Trusted Signing), um gefälschte Code-Signaturzertifikate auszustellen. Diese waren jeweils nur 72 Stunden gültig. Um legitime Zertifikate über das System zu erhalten, muss man sich strengen Identitätsprüfungen unterziehen – Fox Tempest beschaffte sich daher vermutlich gestohlene Identitäten aus den USA und Kanada, um als legitime Organisation Zugang zu den digitalen Zertifikaten zu erlangen. Der Dienst signspace[.]cloud ermöglichte es zahlenden Cyberkriminellen, ihre Malware-Dateien hochzuladen und signieren zu lassen; das Honorar betrug zwischen 5.000 und 9.000 US-Dollar pro Signatur. Die signierte Malware konnte sich damit als legitime Software wie AnyDesk, Microsoft Teams, PuTTY oder Cisco Webex ausgeben.
Fox Tempest verteilte Malware-Varianten wie Rhysida-Ransomware, Oyster (CleanUpLoader), Lumma Stealer und Vidar an Kundengruppen. Verbindungen existieren zu Affiliates der Ransomware-Familien INC, Qilin, BlackByte und Akira. Angriffe zielten auf Einrichtungen im Gesundheitswesen, Bildungswesen, Behörden und Finanzsektor in USA, Frankreich, Indien und China ab.
Ab Februar 2026 verlagerte Fox Tempest das Geschäftsmodell auf vorkonfigurierte Virtual Machines, die über Cloudzy gehostet wurden – Kunden konnten Malware-Artefakte direkt hochladen und signierte Binärdateien erhalten. Diese Infrastruktur-Evolution senkte die Hürden für Kundenaufträge und verbesserte die operative Sicherheit des Angebots. Threat-Actor wie Vanilla Tempest verbreiteten die signierte Malware durch gekaufte Werbeanzeigen, die Suchende nach Microsoft Teams auf gefälschte Downloadseiten lenkten.
Quelle: ainews-dev.lumi-systems.io · Erschienen 20. Mai 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.5.2.