Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
OpFauxSign ferma Fox Tempest: malware firmato con Artifact Signing per accelerare ransomware globale
Microsoft ha annunciato di aver interrotto un servizio di malware signing as a service che sfruttava il sistema Artifact Signing per distribuire codice malevolo firmato digitalmente e facilitare attacchi ransomware su larga scala. La campagna è stata attribuita a un attore chiamato Fox Tempest, attivo dal 2025, e l’operazione di contrasto è stata indicata come OpFauxSign.
L’intervento ha incluso il sequestro del dominio usato per offrire il servizio, lo spegnimento di centinaia di macchine virtuali impiegate nell’infrastruttura e il blocco dell’accesso a un sito che ospitava il codice alla base della piattaforma.
Il punto critico di questa vicenda è l’abuso della firma del codice, una pratica nata per aumentare la fiducia nel software e ridurre il rischio di manomissioni. Artifact Signing, soluzione gestita end-to-end, consente agli sviluppatori di firmare applicazioni in modo che risultino autentiche e non alterate. Fox Tempest avrebbe invece sfruttato il meccanismo per ottenere certificati di firma fraudolenti a vita breve, validi solo 72 ore, e usarli per far apparire il malware come software legittimo, aumentando le probabilità di superare i controlli di sicurezza.
Secondo le analisi, per superare i processi di verifica dell’identità necessari a ottenere certificati validi, gli attaccanti avrebbero probabilmente usato identità rubate negli Stati Uniti e in Canada. Il servizio consentiva ai clienti paganti di caricare file malevoli e ricevere in cambio binari firmati, pronti per essere distribuiti come se fossero strumenti affidabili.
Software impersonati e modello di servizio
Tra i programmi imitati sono stati citati nomi noti come AnyDesk, Microsoft Teams, PuTTY e Cisco Webex. Il costo del servizio variava tra 5.000 e 9.000 dollari, un prezzo che evidenzia quanto la firma digitale sia considerata un acceleratore operativo per il cybercrime.
Impatto sull’ecosistema ransomware
La piattaforma avrebbe avuto un ruolo nell’ecosistema ransomware, facilitando la diffusione di Rhysida e di famiglie malware come Oyster, Lumma Stealer e Vidar. Sono emersi anche collegamenti con affiliati associati a diversi ceppi ransomware, con vittime in settori sensibili come sanità, istruzione, pubblica amministrazione e servizi finanziari in vari paesi.
Evoluzione della minaccia
Da febbraio 2026 la minaccia si sarebbe evoluta offrendo macchine virtuali preconfigurate su hosting esterno, riducendo l’attrito per i clienti e rendendo più efficiente la consegna di malware firmato su scala.