Sukces Microsoftu w walce z dostawcami usług malware

Cyfrowy wydział śledczy korporacji Microsoft doprowadził do zablokowania infrastruktury grupy Fox Tempest. Podmiot ten od maja 2025 roku oferował zaawansowane usługi fałszywego certyfikowania złośliwego oprogramowania. Legalne dotąd oznaczenia bezpieczeństwa były wykorzystywane do masowych ataków ransoware na całym świecie.

Amerykański sąd federalny dla południowego okręgu Nowego Jorku upublicznił akta sprawy przeciwko operatorom platformy signspace cloud. W ramach skoordynowanej akcji przejęto główną witrynę internetową gangu oraz wyłączono kilkaset maszyn wirtualnych napędzających ten proceder. Zablokowano również dostęp do serwera przechowującego kod źródłowy wykorzystywany przez przestępców.

Usługa działająca w modelu podpisywania złośliwego kodu jako usługi pozwalała klientom na przesyłanie niebezpiecznych aplikacji przez specjalny portal. Twórcy platformy manipulowali narzędziami weryfikacyjnymi, w tym systemem Artifact Signing stworzonym przez Microsoft. Dzięki temu programy hakerskie bez przeszkód omijały zapory antywirusowe i oszukiwały użytkowników systemów operacyjnych.

Do masowego generowania poświadczeń deweloperskich przestępcy wykorzystywali sfałszowane tożsamości oraz zakładali setki fikcyjnych kont biznesowych. Zaawansowane możliwości technologiczne wyceniano na tysiące dolarów, co drastycznie odróżniało Fox Tempest od tanich dostawców infrastruktury kosztujących zaledwie 24 USD miesięcznie. Cały proceder przyniósł założycielom miliony dolarów zysku, a kampanie reklamowe były dodatkowo optymalizowane za pomocą sztucznej inteligencji.

Powiązania z globalnymi grupami ransomware

W dokumentach procesowych jako wspólnika wskazano organizację Vanilla Tempest. Wykorzystywała ona sfałszowane certyfikaty do dystrybucji złośliwych narzędzi takich jak Oyster, Lumma Stealer czy Vidar. Za ich pomocą uruchamiano groźne oprogramowanie Rhysida, które posłużyło między innymi do wykradzenia dokumentów z Biblioteki Brytyjskiej oraz sparaliżowania lotniska w Seattle.

Śledztwo ujawniło, że z usług Fox Tempest korzystały również inne znane grupy powiązane z wymuszeniami, wśród których wymieniono INC, Qilin oraz Akira. Współczesny rynek cyberprzestępczy ewoluował w kierunku struktury modułowej, gdzie wyspecjalizowane podmioty sprzedają swoje usługi innym grupom. Wykorzystywanie fałszywych certyfikatów przez grupy cyberprzestępców w Europie trwa od dekady, jednak obecna automatyzacja zmieniła skalę zagrożenia.

W lutym 2026 roku przestępcy przenieśli operacje do zewnętrznych dostawców maszyn wirtualnych, starając się ominąć blokady bezpieczeństwa. Obecnie hakerzy próbują przenieść swoich klientów do alternatywnych systemów podpisywania kodu. W operacji neutralizacji zagrożenia Microsoft ściśle współpracował z firmą Resecurity, zajmującą się analizą zagrożeń sieciowych, a także z Federalnym Biurem Śledczym oraz Europolem.