Специалисты Microsoft сообщили о ликвидации крупного сервиса, который использовался преступниками для подписания малвари (malware-signing-as-a-service, MSaaS) и позволял маскировать вредоносное ПО под легитимные приложения. Платформа signspace[.]cloud злоупотребляла облачным сервисом Artifact Signing (ранее Azure Trusted Signing), предназначенным для подписания программного обеспечения.

По данным экспертов Microsoft Threat Intelligence, сервисом управляла финансово мотивированная группировка Fox Tempest, активная как минимум с мая 2025 года. Злоумышленники использовали Artifact Signing для выпуска поддельных сертификатов подписи кода, действовавших около 72 часов. Такие сертификаты позволяли малвари выглядеть как доверенное ПО для Windows и защитных решений.

В рамках операции OpFauxSign Microsoft при поддержке специалистов подразделения Digital Crimes Unit (DCU) и отраслевых партнеров изъяла домен signspace[.]cloud, отключила сотни виртуальных машин, связанных с инфраструктурой сервиса, а также заблокировала доступ к площадкам, где размещался его исходный код. Одновременно компания подала иск в окружной суд Южного округа Нью-Йорка.

По оценкам компании, в рамках поддержания своей деятельности участники Fox Tempest создали более 1000 сертификатов подписи кода, а также сотни тенантов и аккаунтов Azure.

Отдельно подчеркивается, что в настоящее время все обнаруженные сертификаты, связанные с этой вредоносной кампанией, уже аннулированы.

По информации аналитиков, сервис активно использовался операторами шифровальщиков и другими преступными группами. Так, Microsoft связывает платформу с распространением малвари Oyster, Lumma Stealer и Vidar, а также с атаками вымогателей Rhysida, Akira, INC, Qilin и BlackByte. Среди клиентов Fox Tempest исследователи перечисляют группировки Vanilla Tempest (связанная с INC Ransomware), Storm-0501, Storm-0249 и Storm-2561.

Хакеры загружали вредоносные файлы на платформу, после чего получали подписанные бинарники, маскировавшиеся под Microsoft Teams, AnyDesk, PuTTY или Cisco Webex. К примеру, в одном из описанных Microsoft случаев жертвы скачивали поддельный установщик Teams через рекламные объявления в поисковиках. После запуска система воспринимала загрузчик малвари Oyster как легитимное ПО благодаря сертификату Microsoft, что позволяло обходить защитные механизмы Windows и разворачивать в системе вымогатель Rhysida.

Предполагается, что для прохождения проверок личности при получении сертификатов злоумышленники использовали украденные данные граждан США и Канады. При этом Microsoft отмечает, что Fox Tempest постоянно адаптировала свою инфраструктуру в ответ на попытки блокировки. Например, с февраля 2026 года сервис начал выдавать клиентам заранее настроенные виртуальные машины на базе Cloudzy, куда злоумышленники загружали малварь и получали уже подписанные файлы.

Продвижение платформы велось через Telegram-канал EV Certs for Sale by SamCodeSign. Стоимость доступа составляла от 5000 до 9000 долларов США в биткоинах. По данным аналитиков Microsoft, сервис принес своим организаторам миллионы долларов прибыли и представлял собой хорошо организованный бизнес с собственной инфраструктурой, поддержкой клиентов и финансовой системой.