Em 19 de maio de 2026, a Microsoft apresentou à Corte Distrital dos Estados Unidos para o Distrito Sul de Nova York uma ação que desmantelou o Fox Tempest, um serviço de malware-signing-as-a-service (MSaaS) que, desde maio de 2025, permitia que criminosos disfarcassem programas maliciosos como software legítimo.

Como funcionava o esquema de assinaturas fraudulentas

O Fox Tempest explorava ferramentas oficiais de assinatura de código, incluindo o Microsoft Artifact Signing, para gerar mais de mil certificados de curta duração. Esses certificados funcionam como um selo digital que atesta a origem e integridade de um programa; quando falsificados, fazem com que antivírus e sistemas operacionais tratem o malware como confiável. A operação gerou milhões de dólares em lucros para seus operadores.

Ação judicial e infraestruturas derrubadas

Com ordem judicial, a Microsoft confiscou o domínio signspace[.]cloud, desligou centenas de máquinas virtuais que executavam o serviço e bloqueou o acesso a repositórios que hospedavam o código do sistema. A empresa também revogou todos os certificados obtidos de forma fraudulenta. A ação nomeia o grupo Vanilla Tempest como co-conspirador e liga o Fox Tempest a afiliados de ransomware como Rhysida, INC, Qilin, Akira, Storm-0501, Storm-2561 e Storm-0249.

Malwares distribuídos por meio do serviço

Entre os programas entregues via Fox Tempest estavam o ransomware Rhysida e os stealers Oyster, Lumma Stealer e Vidar. O serviço esteve ativo por pelo menos um ano, tendo sido rastreado pela Microsoft desde setembro de 2025. A colaboração envolveu a parceira Resecurity, o EC3 da Europol e o FBI.

Para entender melhor ações semelhantes da Microsoft contra redes de malware, confira este relato sobre a operação que derrubou o Lumma Stealer.