Thought Leadership
Microsoft hat den kriminellen Signierungsdienst Fox Tempest zerschlagen. Die Täter tarnten Erpressungs-Software als verifizierte Microsoft-Programme.
Die Digital Crimes Unit (DCU) des Technologiekonzerns Microsoft hat in Zusammenarbeit mit dem externen Sicherheitsunternehmen Resecurity eine der weltweit bedeutendsten kriminellen Infrastrukturen für den verdeckten Vertrieb von Schadsoftware zerschlagen. Im Zentrum der Operation steht ein finanziell motivierter Akteur, den Microsoft unter dem Namen „Fox Tempest“ führt. Die Gruppierung betrieb seit mindestens Mai 2025 ein hochgradig spezialisiertes Geschäftsmodell, das in Fachkreisen als „Malware-Signing-as-a-Service“ (MSaaS) klassifiziert wird. Durch den Missbrauch interner Verifizierungssysteme ermöglichte Fox Tempest anderen Cyberkriminellen und Ransomware-Banden, bösartige Software mit echten, vertrauenswürdigen digitalen Signaturen zu versehen. Dadurch passierte die Schadsoftware die Abwehrmechanismen von Betriebssystemen und Antivirenprogrammen unbemerkt.
Missbrauch von Microsoft Artifact Signing
Die technologische Methodik von Fox Tempest basierte auf der gezielten Ausnutzung von Microsofts „Artifact Signing“-Infrastruktur (zuvor als Trusted Signing bekannt). Dieses System ist regulär dafür vorgesehen, Softwareentwicklern die Möglichkeit zu geben, ihre Anwendungen kryptografisch zu signieren, um Endanwendern die Unversehrtheit des Programms zu garantieren. Um die strengen Identitätsprüfungen des Systems zu umgehen, setzten die Betreiber von Fox Tempest auf großflächigen Identitätsdiebstahl. Unter Verwendung gefälschter Profile und der Identitäten realer Unternehmen, primär mit Sitz in den USA und Kanada, registrierten die Täter hunderte betrügerische Konten.
Über dieses Netzwerk aus Scheinfirmen generierte Fox Tempest mehr als 1.000 valide Code-Signing-Zertifikate und richtete hunderte von Azure-Mandanten (Tenants) und Abonnements ein. Die generierten Zertifikate wiesen eine extrem kurze Gültigkeitsdauer von lediglich 72 Stunden auf. Diese bewusste zeitliche Verknappung erschwerte die Erkennung durch Sicherheitsanalysten erheblich. Microsoft hat im Zuge der aktuellen Demontage sämtliche mit der Infrastruktur verknüpften Konten dauerhaft gesperrt und über 1.000 von Fox Tempest ausgestellte Zertifikate für ungültig erklärt.
Millionenmarkt im Schatten von Telegram
Fox Tempest agierte nicht als isolierte Hackergruppe, sondern als kommerzieller Dienstleister innerhalb der organisierten Cyberkriminalität. Die Plattform stellte ihren Kunden ein vollautomatisiertes Webportal unter der Domain signspace.cloud zur Verfügung. Über eine integrierte Drag-and-Drop-Funktion konnten Käufer ihre Schadprogramme hochladen, die dann vollautomatisch im Hintergrund mit einer legitimen Microsoft-Signatur versehen wurden.
Der Zugang zu diesem kriminellen Dienst war exklusiv und teuer: Die Preismodelle für Abonnements bewegten sich stabil zwischen 5.000 und 9.000 US-Dollar pro Monat, wobei teurere Tarife eine priorisierte Bearbeitung garantierten. Der Vertrieb und die Koordination der Zahlungen in Kryptowährungen erfolgten offen über spezialisierte Telegram-Kanäle, wobei die Gruppe unter anderem mit einem bekannten Identitäts- und Zertifikatsmakler namens „SamCodeSign“ kooperierte. Microsofts Ermittler schätzen, dass die Betreiber durch diesen Service Umsätze in Millionenhöhe generierten.
„Wenn Angreifer bösartige Software legitim erscheinen lassen können, untergräbt dies die Art und Weise, wie Menschen und Systeme entscheiden, was sicher ist. Diese Fähigkeit zu stören, ist der Schlüssel zur Erhöhung der Kosten der Cyberkriminalität.“
Steven Masada, Leiter der Microsoft Digital Crimes Unit
Fox Tempest agierte mit virtuelle Maschinen
Die Ermittler dokumentierten eine kontinuierliche architektonische Anpassung der kriminellen Infrastruktur an die Gegenmaßnahmen der IT-Sicherheitsindustrie. Nachdem Microsoft Ende 2025 erste Konten und Einzelzertifikate blockiert hatte, reagierte Fox Tempest im Februar 2026 mit einer grundlegenden Umstrukturierung des operativen Betriebs.
Die Gruppe verlagerte ihre Plattform weg von direkten Web-Schnittstellen hin zu einem dezentralen Netzwerk vorkonfigurierter virtueller Maschinen (VMs). Diese wurden bei verschiedenen Virtual-Private-Server-Anbietern (VPS) wie Cloudzy (USA), Freak Hosting (Großbritannien) und Wavecom (Estland) angemietet. Die Kunden von Fox Tempest erhielten direkten Zugriff auf diese isolierten virtuellen Umgebungen, um ihre Schadsoftware einzuspeisen und die signierten Binärdateien direkt entgegenzunehmen. Dieser Evolutionsschritt senkte das Risiko einer vorzeitigen Entdeckung der Hauptinfrastruktur und erhöhte die Skalierbarkeit des kriminellen Betriebs. Im Rahmen der aktuellen Aktion wurden hunderte dieser virtuellen Maschinen koordiniert abgeschaltet.
Gefälschte Software-Signaturen weltweit genutzt
Die von Fox Tempest signierten Schadprogramme wurden von zahlreichen bekannten Akteuren der Ransomware-Szene genutzt, um IT-Infrastrukturen weltweit zu kompromittieren. Zu den Hauptabnehmern gehörten die Erpressergruppen Rhysida, INC, Qilin, Akira sowie die Gruppierung „Vanilla Tempest“, gegen die Microsoft bereits im Oktober 2025 gezielte Maßnahmen ergriffen hatte. Auch staatlich gelenkte Spionageeinheiten, darunter die dem iranischen Geheimdienst zugeschriebene Gruppe „MuddyWater“, nutzten den Dienst.
Die Verteilung der manipulierten Software erfolgte hochgradig effektiv über Suchmaschinen-Optimierung (SEO-Poisoning) und gefälschte Werbeanzeigen (Malvertising). Die Angreifer bauten Webseiten nach, die täuschend echt den Downloadseiten populärer Unternehmenssoftware glichen – darunter AnyDesk, Microsoft Teams, PuTTY und Webex. Da die heruntergeladenen Installationsdateien dank Fox Tempest eine valide Microsoft-Signatur aufwiesen, schlug der integrierte Schutzmechanismus Microsoft Defender SmartScreen keine Alarmmeldungen an. Die Opfer installierten den vermeintlichen Konferenz-Client und infizierten ihr Netzwerk zeitgleich mit verdeckten Backdoors, Infostealern wie Lumma, Oyster und Vidar oder direkt mit verschlüsselnder Ransomware. Betroffen waren kritische Sektoren wie das Gesundheitswesen, Bildungseinrichtungen, Regierungsbehörden und Finanzdienstleister in den USA, Frankreich, Indien und China.
Microsoft verklagt Fox Tempest und Vanilla Tempest
Zur Absicherung der technischen Maßnahmen griff Microsoft auf rechtliche Instrumente zurück und erwirkte eine gerichtliche Anordnung vor dem US-Bezirksgericht für den südlichen Distrikt von New York (US District Court for the Southern District of New York). Die Klageschrift richtet sich direkt gegen die Infrastrukturbetreiber von Fox Tempest sowie Vanilla Tempest als Mitverschwörer.
Diese juristischen Verfahren dienen in der modernen Cyber-Abwehr als Hebel, um Eigentumsrechte an inkriminierten Internet-Domains gerichtlich auf die Sicherheitsunternehmen zu übertragen. Microsoft leitete die Datenströme der genutzten Domains auf einen konzerneigenen Sicherheits-Server (Sinkhole) um, blockierte den Zugriff auf Repositories mit dem zugrundeliegenden Programmcode des Dienstes namens code-signing-service und zwang ausländische Hosting-Provider zur Kooperation. Die Maßnahme hat das Angebot an signierter Schadsoftware auf dem Untergrundmarkt temporär drastisch verknappt und die operativen Kosten für Folgeangriffe signifikant in die Höhe getrieben.
