A Microsoft informou ter derrubado uma operação de malware-as-a-service usada para assinar códigos maliciosos e facilitar ataques de ransomware em diferentes países. A ação teve como alvo uma infraestrutura associada ao grupo Fox Tempest, ativo desde maio de 2025.
Segundo a empresa, o serviço abusava do sistema Artifact Signing para fazer malwares parecerem softwares legítimos.
Com isso, criminosos conseguiam contornar controles de segurança que confiam em certificados digitais para validar a origem de arquivos executáveis.
A operação, chamada OpFauxSign, resultou na apreensão do domínio signspace[.]cloud, na desativação de centenas de máquinas virtuais e no bloqueio de acesso a um site que hospedava o código usado pelo esquema.
A Microsoft também revogou certificados obtidos de forma fraudulenta.
O serviço permitia que clientes criminosos enviassem arquivos maliciosos para assinatura digital. Depois disso, os binários podiam se passar por aplicativos conhecidos, como AnyDesk, Microsoft Teams, PuTTY e Cisco Webex, aumentando as chances de instalação pelas vítimas.
