A Resecurity apoiou a Unidade de Crimes Digitais da Microsoft (DCU, sigla em inglês) na desarticulação do Fox Tempest, um hacker do mal financeiramente motivado que operava uma capacidade de “malware-como-serviço para assinatura de código” (MSaaS), utilizada por cibercriminosos para fazer com que arquivos maliciosos parecessem legítimos.
Em 19 de maio de 2026, a Microsoft tornou público um processo judicial no Tribunal Distrital dos EUA para o Distrito Sul de Nova York visando o Fox Tempest, um serviço de cibercrime que abusava do Microsoft Artifact Signing para obter certificados fraudulentos de assinatura de código.
De acordo com a Microsoft, o serviço permitia que cibercriminosos disfarçassem malwares como softwares confiáveis, aumentando a probabilidade de que arquivos maliciosos burlassem os controles de segurança e fossem executados pelas vítimas.
Como parte da desarticulação, a Microsoft:
- Confiscou o site do Fox Tempest passando para signspace[.]cloud a fim de evitar que o link acidentalmente seja acessado inserindo o [.] como trava de segurança no domínio;
- Desconectou centenas de máquinas virtuais usadas na operação;
- Bloqueou o acesso à infraestrutura que hospedava o código subjacente;
- Revogou mais de 1.000 certificados de assinatura de código atribuídos ao Fox Tempest.
O Fox Tempest desempenhava um papel de “fornecedor inicial” (upstream) no ecossistema de ransomware. Em vez de visar diretamente as vítimas, o grupo fornecia um serviço especializado que permitia aos hackers assinar digitalmente seus malwares, melhorar a eficácia de campanhas de distribuição maliciosa e aumentar a legitimidade percebida dos softwares maliciosos.
A Microsoft vinculou a atividade viabilizada pelo Fox Tempest a operações de ransomware e malware envolvendo as famílias ou afiliados Vanilla Tempest, Rhysida, Oyster, Lumma Stealer, Vidar, INC, Qilin, Akira, entre outras.
A Resecurity colaborou com a DCU da Microsoft para ajudar a entender melhor como o Fox Tempest operava. A Microsoft também destacou a coordenação com o Centro Europeu de Cibercrime da Europol (EC3) e com o FBI, ressaltando a importância da colaboração público privada na desarticulação da infraestrutura do cibercrime.
Tendência de Mercado
O caso destaca uma mudança mais ampla no cibercrime onde os atacantes dependem cada vez mais de serviços modulares e comercializados que eliminam o atrito na cadeia de ataque. Ao transformar a assinatura de código em uma arma, o Fox Tempest ajudou a fazer com que softwares maliciosos parecessem confiáveis, reduzindo a suspeita dos usuários e aumentando as chances de um comprometimento bem-sucedido.
Desarticular esses serviços na origem (upstream) é crítico. Quando os ecossistemas maliciosos de assinatura de código são enfraquecidos, os operadores de ransomware e distribuidores de malware perdem uma capacidade fundamental, os ataques tornam-se mais difíceis de escalar e os defensores ganham mais oportunidades para deter as ameaças antes que elas cheguem às vítimas.
Entre os países mais visados pelo Fox Tempest estão os EUA, a França e a Índia, seguidos por China, Alemanha, Japão, Reino Unido, Itália, Espanha e Brasil.
O Crypto ID conecta tecnologia, regulação voltada à segurança da informação com inteligência editorial porque acreditamos no poder da informação bem posicionada para orientar decisões.
Conheça a coluna Cibersegurança.
Siga o Crypto ID no LinkedIn agora mesmo!
