Lunedì 18 maggio Microsoft ha annunciato di avere smantellato il gruppo Fox Tempest, la prima operazione conosciuta di “malware signing as a service” che consentiva di fare apparire legittimi malware in modo che potessero aggirare le difese delle organizzazioni target.
A marzo del 2025 Microsoft ha confermato che il proprio servizio Trusted Signing è stato usato da cyber criminali per firmare malware con certificati di breve durata – tipicamente 3 giorni – pensati per consentire a software malevoli di apparire legittimi e superare così i controlli di sicurezza.
Gli attaccanti hanno preso di mira il servizio di Microsoft perché più facile da ottenere rispetto ad altri certificati Extended Validation i quali, di norma, esigono documenti societari, verifiche manuali che impiegano giorni o settimane e, non da ultimo, hanno costi più elevati.
In passato sono già state osservate campagne come Crazy Evil Traffers e Lumma Stealer che hanno sfruttato il servizio Trusted Signing di Microsoft che monitora gli abusi con continuità e revoca i certificati compromessi.
Indice degli argomenti
Chi è e come opera il gruppo Fox Tempest
Per capire il modus operandi del collettivo Fox Tempest è opportuno spiegare cosa è la firma del codice, un meccanismo di sicurezza che consente di verificare l’identità di chi ha creato un software e che questo non sia stato modificato dopo la sua pubblicazione.
Quando questo sistema viene aggirato o abusato, un malware non appare più come file sospetto ma come un software legittimo, riuscendo a superare le difese deputate a bloccarlo e circolando nelle infrastrutture di rete aziendali.
Questa capacità rende la compromissione della firma del codice una delle tecniche preferite dai gruppi criminali più sofisticati, soprattutto quando puntano a infrastrutture critiche.
Non si tratta di tecniche di nicchia perché, come sostiene il direttore della Digital Crimes Unit (DCU) di Microsoft Steven Masada, sono strategie capaci di dimostrare che il cyber crimine è cambiato radicalmente fino a dare forma a un’economia criminale strutturata che rende acquistabile ogni componente di un attacco.
Non serve più creare un’operazione da zero, basta assemblare pezzi comprati da fornitori diversi per entrare in possesso di phishing kit, malware, infrastrutture e strumenti di evasione.
Chi si occupa di difesa non battaglia più contro un solo punto di ingresso come un’email o un link, ma è confrontato con qualcosa di più embrionale, ossia il contesto nel quale gli attacchi vengono costruiti.
Infatti, se un malware è progettato per sembrare affidabile, la risposta deve essere calibrata e deve puntare a distruggere i servizi e le infrastrutture che permettono al cyber crimine di scalare e colpire in modo sempre più subdolo ed efficace.
Fox Tempest ha sviluppato un servizio commerciale che forniva firme digitali a pagamento a gruppi ransomware.
Mettendo a disposizione di altri gruppi criminali la propria tecnologia “signing as a service”, dal mese di aprile del 2025 al mese di aprile del 2026, ha coadiuvato la diffusione di malware quali Aurora, Multiverze, Tedy, Oyster, il già citato LummaStealer per un totale di 24 famiglie di minacce.
Un servizio criminale pericoloso perché non attacca in prima persona ma rende più potenti gli attacchi di altri gruppi, fungendo così da moltiplicatore di forze per il cyber crimine.
Le indagini
Coordinate da Maurice Mason di Microsoft, le indagini sono partite da anomalie nei certificati di firma del codice, cioè da firme digitali che non sarebbero dovute esistere o che venivano usate in modo incoerente rispetto ai normali flussi di distribuzione software.
Da qui il gruppo dedito alle indagini ha iniziato a ricostruire la catena tecnica per individuare server, domini, account e infrastrutture di distribuzione, pezzi che riconducevano a un servizio criminale strutturato e non a un singolo attaccante.
Le indagini hanno permesso di stabilire collegamenti tra i certificati firmati da Fox Tempest e attacchi sferrati contro scuole, ospedali, aeroporti e servizi pubblici essenziali.
Il takedown è stato possibile unendo l’analisi tecnica e la ricostruzione dell’infrastruttura, coinvolgendo le forze dell’ordine e intraprendendo azioni legali civili depositate presso il tribunale federale di New York (Southern District of New York).
Le indagini seguono tipicamente tre fasi. Iniziano con l’identificazione delle infrastrutture criminali, proseguono con la raccolta delle prove tecniche e legali che confluiscono verso l’ottenimento di un takedown giudiziario mediante il quale è possibile sequestrare domini, server e botnet. Tutto ciò mediante la collaborazione con le forze dell’ordine e con i Computer Emergency Response Team (CERT), gruppi tecnici che monitorano, esaminano e rispondono ai cyber incidenti.
Le impronte di Fox Tempest nel mondo
I malware diffusi grazie al servizio di Fox Tempest sono stati rinvenuti soprattutto negli Stati Uniti d’America, in Francia, in India, in China e in Brazile.
A seguire in Germania, Giappone, Regno Unito, Italia e Spagna.
Fox Tempest usava tecniche industriali e gestiva centinaia di domini: costruiva le infrastrutture che la DCU di Microsoft ha smontato in modo ufficiale ricorrendo a ordini giudiziari appositi.
