Desarticulando o Fox Tempest: um serviço cibercriminoso que transformou softwares “verificados” em uma via de acesso para ransomware
Hoje, a Microsoft tornou pública uma ação judicial no Tribunal Distrital dos Estados Unidos para o Distrito Sul de Nova York contra um serviço cibercriminoso conhecido como Fox Tempest que, desde maio de 2025, vinha permitindo que criminosos disfarçassem malware como software legítimo.
O serviço de malware signing as a service (MSaaS) operava por meio do acesso fraudulento e do uso indevido de ferramentas de assinatura de código, como o Artifact Signing da Microsoft, um sistema projetado para verificar que um software é legítimo e não foi adulterado. Criminosos utilizaram esse serviço para distribuir malware e viabilizar ransomware e outros ataques, infectando milhares de máquinas e comprometendo redes em todo o mundo.
Todos os dias, decidimos em segundos em quais softwares confiar , guiados por rótulos simples como “verificado”, “seguro” e “seguro para instalar”. O problema é que esses sinais podem ser manipulados.
Pela primeira vez, a Microsoft está adotando uma ação pública contra um facilitador poderoso, mas muitas vezes invisível, dentro do ecossistema do cibercrime, com foco em como criminosos preparam e empregam técnicas para aumentar sua taxa de sucesso. Para interromper o serviço, apreendemos o site do Fox Tempest, signspace[.]cloud, tiramos do ar centenas de máquinas virtuais que sustentavam a operação e bloqueamos o acesso a um site que hospedava o código subjacente. Essa ação se apoia em esforços internos contínuos para revogar certificados de assinatura de código obtidos de forma fraudulenta, fortalecer nossas defesas e adotar novos recursos de segurança para detectar e impedir esse tipo de atividade maliciosa. O impacto já é perceptível: cibercriminosos relatam dificuldades para acessar o serviço atual.
O foco é a infraestrutura do Fox Tempest
O impacto dessa ação vai além de um único ator. O processo mira a infraestrutura do Fox Tempest e cita o Vanilla Tempest , um importante grupo de ransomware que utilizou o serviço para implantar malwares como Oyster, Lumma Stealer e Vidar, além de ransomware, incluindo o Rhysida, em diversos ciberataques recentes.
O Vanilla Tempest já teve como alvo escolas, hospitais e outras organizações críticas em todo o mundo, enquanto o Rhysida, uma variante altamente evoluída de ransomware que tanto criptografa arquivos quanto rouba dados, frequentemente usada em esquemas de dupla extorsão, foi empregada em inúmeros ataques de grande repercussão global, incluindo o roubo e o vazamento de documentos internos da British Library e a interrupção das operações no Aeroporto Internacional de Seattle-Tacoma. A investigação da Microsoft também vinculou o Fox Tempest a vários afiliados e famílias de ransomware, incluindo INC, Qilin, Akira e outros.
De forma mais ampla, este caso mostra como o cibercrime está evoluindo. O que antes exigia que um único grupo conduzisse um ataque do início ao fim agora está fragmentado em um ecossistema modular, no qual serviços são comprados e vendidos e funcionam de forma intercambiável. Alguns serviços são baratos e amplamente utilizados. Outros, como o Fox Tempest, são altamente especializados e caros porque eliminam atritos ou contornam obstáculos que fariam os ataques falhar, tornando-os ao mesmo tempo mais confiáveis e mais difíceis de detectar. Como se viu com o Fox Tempest, quando esses serviços são combinados com táticas alimentadas por IA, os ataques podem ganhar escala com mais facilidade, alcançar mais pessoas e se tornar mais convincentes.
Esse tipo de abuso não é novo, mas está evoluindo
Certificados ilícitos de assinatura de código são vendidos e traficados há mais de uma década. Isso inclui seu uso por atores estatais para atingir organizações de infraestrutura crítica na Europa. O que mudou foi a forma como essa atividade é promovida, empacotada e comercializada como serviço, assim como a escala com que ela passou a ser usada em campanhas de ransomware. Em vez de comprar certificados um a um, criminosos enviam seu malware para um serviço que o assina por eles.
O que também torna esse modelo notável é o nível de investimento. Diferentemente de serviços de menor custo, como o RedVDS, um provedor de infraestrutura cibercriminosa que custa a partir de US$ 24 por mês e que a Microsoft interrompeu no início deste ano, o Fox Tempest mostra que atores mais sofisticados estão dispostos a pagar milhares de dólares por capacidades avançadas que tornam os ataques mais fáceis de executar, mais difíceis de detectar e com maior probabilidade de sucesso.
Como o Fox Tempest vendia “legitimidade” em escala
O modelo de negócios do Fox Tempest era direto: vender capacidade fraudulenta de assinatura de código, permitir que terceiros empacotassem malware e viabilizar ataques subsequentes. O modelo gerou milhões em receitas, demonstrando um retorno financeiro significativo.
Nos bastidores, os operadores construíram acesso em escala. Usando identidades fabricadas e se passando por organizações legítimas, eles criaram centenas de contas fraudulentas da Microsoft para obter, em volume, credenciais reais de assinatura de código. Os clientes que pagavam pelos serviços do Fox Tempest podiam então enviar arquivos maliciosos por meio de um portal online para que fossem assinados com certificados controlados pelo grupo. Criminosos pagavam milhares de dólares pelo serviço, o que reflete o valor dessa capacidade.
Parecia legítimo
Uma vez assinado, o malware passava a parecer legítimo. Os atacantes então distribuíam esse malware por meio de táticas como manipulação de resultados de busca e anúncios maliciosos, contextos em que os usuários tendem a confiar mais no que encontram. A IA também ajudava a gerar e aprimorar essas campanhas para alcançar um público mais amplo.
Isso mudou as probabilidades. Softwares maliciosos que deveriam ter sido bloqueados ou sinalizados por antivírus e outras proteções passaram a ter mais chances de ser abertos, autorizados a rodar ou aprovados em verificações de segurança — em essência, permitindo que o malware se escondesse. Em vez de forçar a entrada, os atacantes conseguiam passar pela porta da frente disfarçados de convidados bem-vindos.
Adaptação
À medida que a Microsoft desativava contas fraudulentas, revogava certificados obtidos de forma fraudulenta e introduzia proteções aprimoradas, os operadores do Fox Tempest se adaptavam continuamente. Em fevereiro de 2026, eles migraram para redes de máquinas virtuais hospedadas por terceiros para manter e escalar as operações. Esse tipo de mudança rápida faz parte do modelo: esses serviços evoluem em resposta à pressão e ao atrito. De fato, a Microsoft observou novas adaptações em resposta aos nossos esforços de interrupção em camadas, com o Fox Tempest tentando transferir operações e clientes para outro serviço de assinatura de código.
Além de apreender a infraestrutura central por trás da operação e reduzir sua capacidade de funcionar em escala, adotamos medidas adicionais para prevenir abusos semelhantes, removendo contas fraudulentas, fortalecendo a verificação e limitando a forma como esse tipo de acesso pode ser reutilizado. Mais detalhes técnicos sobre a operação e sobre as medidas que estamos adotando para evitar abusos semelhantes estão disponíveis no blog de Microsoft Threat Intelligence.
Interrompendo um facilitador crítico do cibercrime
Essa ação não teve como objetivo interromper apenas um ator. Ela buscou neutralizar estrategicamente um serviço vital do qual muitos atacantes, especialmente grupos de ransomware, dependem. Quando serviços legítimos de assinatura de código são transformados em arma, tudo o que vem depois se torna mais fácil: o malware parece legítimo, alertas de segurança têm menos chance de disparar e os ataques se tornam mais propensos ao sucesso. Reduzir essa capacidade adiciona atrito e força um recomeço. As taxas de sucesso dos ataques caem, e os atacantes precisam se reorganizar, encontrar novas formas de entrada e aceitar mais risco a cada tentativa — elevando tanto o custo quanto o tempo necessários para operar.
É importante destacar que ações de interrupção não acontecem de forma isolada e nunca são pontuais. A colaboração é fundamental, já que diferentes organizações e setores têm visibilidade sobre diferentes partes do ecossistema do cibercrime. Neste caso, estamos trabalhando em estreita colaboração com a empresa de cibersegurança Resecurity, cujos insights nos ajudam a compreender melhor como o Fox Tempest opera.
Também estamos colaborando de perto com o Centro Europeu de Cibercrime da Europol (EC3) e o Federal Bureau of Investigation (FBI). Como vimos em esforços anteriores, esperamos que esses atores tentem se reestruturar. Coletivamente, continuaremos a agir e a manter a pressão. Isso também significa fortalecer o ecossistema de assinatura de código por meio do compartilhamento de inteligência e de parcerias com outros serviços de assinatura de código, para dificultar que atores maliciosos recuperem esse espaço.
Quando atacantes conseguem fazer software malicioso parecer legítimo, isso compromete a forma como pessoas e sistemas determinam o que é seguro. Interromper essa capacidade é fundamental para elevar o custo do cibercrime. À medida que as ameaças evoluem, a Microsoft Digital Crimes Unit continuará trabalhando com parceiros da indústria e das forças de segurança para identificar de forma contínua e interromper os serviços que tornam essas ameaças possíveis.
Sobre a Microsoft
A Microsoft (Nasdaq “MSFT” @microsoft) cria plataformas e ferramentas alimentadas por Inteligência Artificial para fornecer soluções inovadoras que atendam às crescentes necessidades dos clientes. A empresa está empenhada em disponibilizar amplamente a IA e promover seu uso de forma responsável, com a missão de capacitar cada pessoa e cada organização no planeta a conquistar mais. No Brasil há mais de 37 anos, a Microsoft tem como objetivo promover a inovação e fortalecer a competitividade do País, apoiando o contínuo desenvolvimento do ecossistema digital.