Microsoft раскрыла операцию против Fox Tempest — финансово мотивированной группировки, которая продавала преступникам подпись для вредоносных файлов как услугу. Такой формат в компании называют malware-signing-as-a-service, или MSaaS: клиент загружает малвар, сервис подписывает файл сертификатом, после чего вредонос выглядит для системы и части защитных решений как легитимная программа.
В центре схемы был сайт signspace[.]cloud. Microsoft через Digital Crimes Unit добилась конфискации домена, отключила сотни виртуальных машин, связанных с инфраструктурой Fox Tempest, и заблокировала доступ к площадке, где размещался код сервиса. Операция получила название OpFauxSign.
Подпись кода — нормальный механизм доверия: разработчик подписывает программу, система проверяет, что файл не подменён и действительно относится к заявленному издателю. Fox Tempest ударила именно по этому доверию. Группировка злоупотребляла Microsoft Artifact Signing, ранее известным как Azure Trusted Signing, и получала краткоживущие сертификаты, которые действовали около 72 часов.
Этого хватало для атаки. Вредоносный файл не должен жить месяцами под одной подписью. Ему достаточно пройти первую проверку, запуститься у жертвы и закрепиться в системе. Для пользователя всё выглядело максимально буднично: он скачивает установщик Teams, AnyDesk, PuTTY или Webex, запускает файл, а Windows видит подпись от доверенной инфраструктуры и не относится к нему как к явной угрозе.
Microsoft отслеживала Fox Tempest как минимум с сентября 2025 года. Сам сервис подписи, по оценке компании, работал минимум с мая 2025 года. За это время группировка создала более тысячи сертификатов подписи кода и подписок Azure. Найденные сертификаты, связанные с кампанией, Microsoft аннулировала.
Схема была устроена как обычный криминальный SaaS. У Fox Tempest был портал для клиентов, административная панель, база пользователей и файлов, очередь на обслуживание, Telegram-канал для продвижения и тарифы. В опубликованных материалах фигурируют цены от 5000 до 9000 долларов в биткоинах; более дорогие планы давали приоритет в очереди.
С февраля 2026 года сервис стал удобнее для клиентов: Fox Tempest начала выдавать заранее настроенные виртуальные машины на инфраструктуре Cloudzy. Покупатель заходил в готовую среду, загружал вредоносный файл и получал подписанный бинарник. Для преступников это снижало технический порог, а для операторов сервиса — упрощало контроль над процессом и инфраструктурой.
Microsoft связывает Fox Tempest с распространением Oyster, Lumma Stealer и Vidar, а также с атаками вымогателей Rhysida, INC, Qilin, Akira и других семейств. Среди клиентов и связанных акторов упоминаются Vanilla Tempest, Storm-0501, Storm-0249 и Storm-2561. Атаки затрагивали организации в здравоохранении, образовании, госструктурах и финансовом секторе в разных странах, включая США, Францию, Индию и Китай.
Важная деталь — вероятное использование украденных личных данных. Для получения сертификатов через Artifact Signing нужно пройти проверку личности и организации. Microsoft считает, что Fox Tempest, вероятно, использовала украденные данные жителей США и Канады, чтобы выглядеть как легитимный заявитель и получать необходимые учётные данные.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
