Microsoft contro Fox Tempest: dietro il malware-signing-as-a-service. La firma digitale del software è uno dei meccanismi di fiducia più importanti della sicurezza informatica.
Quando un utente scarica un programma e il sistema operativo mostra diciture come “software verificato” o “editore attendibile”, significa che quel software è stato autenticato attraverso un processo chiamato code signing, cioè la firma del codice.

È proprio questo meccanismo che, secondo quanto scrive Microsoft in queste ore, il gruppo Fox Tempest avrebbe trasformato in un business criminale globale.

Ma cosa è successo?
Nei giorni scorsi la Digital Crimes Unit di Microsoft ha annunciato un’azione legale e tecnica contro quella che viene definita la prima operazione conosciuta di “malware signing as a service”, un modello criminale attraverso il quale gruppi ransomware e cybercriminali potevano acquistare firme digitali fraudolente per fare apparire i propri malware come software legittimi. 

L’intervento ha portato al sequestro dell’infrastruttura principale del servizio, alla disattivazione di centinaia di macchine virtuali, alla revoca di oltre mille certificati di firma ottenuti fraudolentemente e al blocco del dominio signspace[.]cloud, utilizzato come piattaforma centrale dell’operazione. 

E, dettaglio dal nostro punto di vista tutt’altro che trascurabile, sempre secondo Microsoft, l’Italia figurerebbe tra i Paesi maggiormente colpiti dalle campagne abilitate da Fox Tempest: nona a livello globale e quarta in Europa dopo Francia, Germania e Regno Unito. 

Contenuti
1. Che cosa è Fox Tempest e cosa è il malware signing as a service
2. La trasformazione industriale del cybercrime
3. Come funzionava il malware signing as a service
4. Perché la firma del codice è così importante
5. Il caso Vanilla Tempest e i falsi installer Microsoft Teams
6. L’intervento di Microsoft
7. Malware signing as a service: una minaccia destinata a evolvere

Che cosa è Fox Tempest e cosa è il malware signing as a service

Cerchiamo dunque di capire di cosa si tratti realmente.
Fox Tempest non è un gruppo ransomware tradizionale.
Non sviluppa malware propri né conduce direttamente attacchi contro le vittime finali. Il suo ruolo è più sofisticato e, per certi versi, più strategico: fornire servizi infrastrutturali ad altri criminali informatici.
Microsoft descrive Fox Tempest come un operatore “finanziariamente motivato”, cioè un gruppo criminale orientato principalmente al profitto economico e non ad attività di cyber spionaggio o sabotaggio geopolitico.
Il gruppo offriva un servizio di “malware-signing-as-a-service” (MSaaS), permettendo ad altri attaccanti di caricare file malevoli e riceverli indietro con firme digitali apparentemente valide, ottenute abusando dei sistemi di code signing di Microsoft.
Questo approccio modifica radicalmente il modo in cui i malware vengono percepiti dai sistemi di sicurezza.
Un malware, infatti, normalmente verrebbe identificato come sospetto da antivirus, endpoint protection o browser. Un file firmato digitalmente, invece, appare come affidabile. E proprio questa apparente legittimità consente agli attaccanti di aumentare drasticamente le probabilità di esecuzione del codice malevolo all’interno delle reti aziendali.

Sempre secondo Microsoft, Fox Tempest avrebbe supportato diversi gruppi ransomware e cybercriminali collegati a campagne contro scuole, ospedali, aeroporti e infrastrutture critiche. Tra i gruppi associati compaiono Vanilla Tempest, Storm-0501, Storm-2561 e Storm-0249, oltre a famiglie ransomware come Rhysida, INC, Qilin e Akira. 

La trasformazione industriale del cybercrime

Uno degli aspetti più interessanti emersi dall’indagine condotta dalla Digital Crimes Unit di Microsoft riguarda il modello economico che sostiene oggi il cybercrime.
Un modello nel quale gli attacchi informatici stanno assumendo una struttura sempre più modulare e industrializzata: non esiste più necessariamente un singolo gruppo che sviluppa internamente ogni fase dell’operazione, bensì un ecosistema di servizi criminali specializzati che possono essere acquistati separatamente.

Alcuni attori vendono accessi iniziali alle reti compromesse, altri mettono a disposizione infrastrutture cloud bulletproof, altri ancora distribuiscono malware o gestiscono piattaforme ransomware-as-a-service.
Fox Tempest occupava invece una posizione particolarmente delicata all’interno di questa filiera: offriva la possibilità di “certificare” malware come se fossero software autentici, aumentando drasticamente le probabilità che riuscissero a superare controlli di sicurezza e sistemi di difesa.

È proprio per questo motivo che Microsoft definisce Fox Tempest un “critical enabler”, cioè un abilitatore chiave dell’intero ecosistema cybercriminale.

Come funzionava il malware signing as a service

Il modello operativo era relativamente semplice ma estremamente efficace.

Secondo quanto emerso, gli operatori di Fox Tempest avrebbero creato centinaia di account Microsoft fraudolenti utilizzando identità false o rubate, ottenendo così accesso al sistema Artifact Signing, precedentemente noto come Azure Trusted Signing. 

Artifact Signing è un sistema legittimo pensato per verificare che un software sia autentico e non sia stato alterato.

Fox Tempest avrebbe invece utilizzato questo servizio al fine di generare certificati validi a breve durata — circa 72 ore — sufficienti però a distribuire malware in maniera efficace prima della loro revoca.

Gli utenti del servizio accedevano tramite il portale signspace[.]cloud, caricavano i file malevoli e ricevevano versioni firmate digitalmente. 

Il servizio era organizzato quasi come una piattaforma SaaS commerciale:

  • pannello clienti; 
  • gestione utenti; 
  • code di elaborazione; 
  • infrastruttura cloud dedicata; 
  • supporto tramite Telegram; 
  • sistemi di pricing differenziati. 

Secondo Microsoft, i criminali pagavano cifre comprese tra 5.000 e 9.000 dollari per ottenere l’accesso prioritario al servizio. 

Fox Tempest avrebbe inoltre utilizzato macchine virtuali preconfigurate ospitate presso provider VPS statunitensi, semplificando ulteriormente il processo per i clienti criminali. 

Perché la firma del codice è così importante

Per comprendere la gravità della minaccia è necessario capire il ruolo del code signing.
La firma digitale del software serve infatti a garantire due elementi fondamentali: da un lato l’autenticità del produttore, cioè l’identità di chi ha creato il programma, dall’altro l’integrità del codice, assicurando che il software non sia stato modificato dopo la pubblicazione.

Quando un file è firmato correttamente, sistemi operativi, browser e piattaforme di sicurezza tendono quindi a considerarlo attendibile. Se però questo meccanismo viene compromesso, cambia completamente la dinamica dell’attacco.

Il malware non deve più “forzare” le difese: può presentarsi come un’applicazione apparentemente sicura, riducendo warning, alert e blocchi automatici. 
Per descrivere questo meccanismo, Microsoft utilizza un’immagine particolarmente efficace: non più un intruso che sfonda la porta, ma un ospite che entra apparentemente autorizzato. 

Ed è proprio questa caratteristica a rendere il malware firmato uno strumento molto apprezzato dai gruppi ransomware più sofisticati.

Il caso Vanilla Tempest e i falsi installer Microsoft Teams

Uno degli esempi più significativi citati da Microsoft riguarda il gruppo Vanilla Tempest, che già dal giugno 2025 avrebbe utilizzato i servizi di Fox Tempest per firmare installer trojanizzati di Microsoft Teams.
Gli attaccanti acquistavano pubblicità online apparentemente legittime oppure sfruttavano tecniche di SEO poisoning e malvertising per intercettare utenti alla ricerca del software Microsoft Teams.

Le vittime venivano così reindirizzate verso pagine fraudolente che distribuivano un falso file MSTeamsSetup.exe firmato digitalmente e quindi molto più credibile agli occhi degli utenti e dei sistemi di sicurezza.

Una volta eseguito, il file installava Oyster — noto anche come Broomstick — un backdoor modulare capace di:

  • stabilire accesso persistente; 
  • raccogliere informazioni dal sistema; 
  • avviare comunicazioni command-and-control; 
  • distribuire payload aggiuntivi; 
  • facilitare la distribuzione di ransomware come Rhysida. 

L’utilizzo di un software apparentemente autentico aumentava enormemente la probabilità che utenti e sistemi di sicurezza non rilevassero immediatamente la minaccia.

L’intervento di Microsoft

L’azione condotta dalla Digital Crimes Unit di Microsoft è particolarmente significativa perché non si è limitata alla semplice revoca dei certificati compromessi.
La Digital Crimes Unit ha infatti colpito direttamente l’infrastruttura che sosteneva l’intero servizio criminale, sequestrando il dominio principale utilizzato da Fox Tempest, disattivando centinaia di macchine virtuali, bloccando l’accesso ai repository e al codice alla base della piattaforma e rimuovendo gli account fraudolenti utilizzati per ottenere i certificati di firma.

L’operazione è stata portata avanti anche attraverso la collaborazione con Europol EC3, FBI e altri partner investigativi internazionali, insieme ad azioni civili depositate presso il tribunale federale di New York.

Si tratta inoltre della prima volta che Microsoft rende pubblica un’azione civile contro un’operazione di malware-signing-as-a-service, segnando un cambio di approccio nel contrasto al cybercrime.

L’obiettivo è quello di colpire uno dei meccanismi che oggi permettono all’ecosistema ransomware di operare su larga scala.

Secondo Microsoft, neutralizzare servizi di questo tipo significa costringere gli attaccanti a ricostruire infrastrutture, trovare nuove modalità operative e affrontare costi, tempi e livelli di rischio significativamente più elevati.

Malware signing as a service: una minaccia destinata a evolvere

Tuttavia, va chiarito un punto: non siamo di fronte a una soluzione definitia. E lo conferma la stessa Microsoft. Durante le attività di contrasto, Fox Tempest aveva già iniziato a spostare parte delle proprie attività verso nuove infrastrutture cloud e altri servizi di code signing, dimostrando quanto rapidamente questi attori riescano ad adattarsi alla pressione investigativa.

La firma fraudolenta del malware non è una tecnica nuova: certificati illegittimi circolano nel cybercrime da oltre un decennio e sono stati utilizzati anche in operazioni legate ad attori statali. Quello che cambia oggi è però la scala del fenomeno e il livello di specializzazione raggiunto.

Il caso Fox Tempest mostra infatti come il cybercrime stia evolvendo verso modelli sempre più organizzati e industrializzati, nei quali servizi altamente specializzati — dal malware signing alle infrastrutture cloud clandestine — vengono venduti come componenti modulari di un attacco.

Secondo Microsoft, l’integrazione tra malware firmato, campagne AI-driven, malvertising e SEO poisoning sta rendendo queste operazioni più credibili, automatizzabili e difficili da intercettare. Ed è proprio questo il vero significato del caso Fox Tempest: non soltanto la scoperta di un nuovo gruppo criminale, ma la conferma di quanto il cybercrime stia assumendo dinamiche sempre più vicine a quelle di un’economia digitale strutturata.

Microsoft contro Fox Tempest: il caso che svela il mercato del malware-signing-as-a-service ultima modifica: 2026-06-03T10:20:14+02:00 da Miti Della Mura

ARTICOLI CORRELATIALTRO DALL'AUTORE

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui