Azure Artifact Signing, früher Trusted Signing, ist ein 2024 von Microsoft eingeführter Cloud-Dienst, mit dem Entwickler ihre Programme unkompliziert signieren lassen können. Genau diese Infrastruktur missbrauchte Fox Tempest laut Microsoft Threat Intelligence, um Schadsoftware das Vertrauen legitimer Anwendungen zu verleihen.

Im Mai 2026 unterband die Digital Crimes Unit (DCU) von Microsoft das MSaaS-Angebot. Dabei beschlagnahmte das Unternehmen die für den Dienst genutzte Domain signspace[.]cloud, nahm Hunderte zugehörige virtuelle Maschinen vom Netz und sperrte den Zugang zu der Infrastruktur, auf der die Plattform lief. Die Domain leitet Besucher inzwischen auf eine von Microsoft betriebene Seite weiter, die die Beschlagnahme im Rahmen der Klage erläutert.

Über signspace[.]cloud konnten Kunden schädliche Dateien hochladen und mit betrügerisch erlangten Zertifikaten signieren lassen. Die so signierten Dateien tarnten sich als legitime Programme wie Microsoft Teams, AnyDesk, PuTTY und Webex. In der Klageschrift beschreibt Microsoft einen Ablauf, bei dem als Microsoft-Teams-Installer getarnte Dateien einen Loader auslieferten, der die signierte Oyster-Schadsoftware installierte und schließlich die Rhysida-Ransomware ausrollte. Weil Oyster mit einem Zertifikat aus Microsofts Artifact-Signing-Dienst signiert war, erkannte Windows die Schadsoftware zunächst als legitime Software an, statt sie zu blockieren.

Die Operation wird mit zahlreichen Kampagnen in Verbindung gebracht, darunter die Schadsoftware Oyster, Lumma Stealer und Vidar sowie die Ransomware-Gruppen Rhysida, Akira, INC, Qilin und BlackByte. Als Nutzer der signierten Schadsoftware nennt Microsoft unter anderem Vanilla Tempest (Mitglieder der INC-Ransomware), Storm-0501, Storm-2561 und Storm-0249. Vanilla Tempest führt Microsoft im Verfahren zudem als Mitverschwörer, da die Gruppe den Dienst zur Verbreitung von Schad- und Erpressungssoftware gegen Organisationen weltweit eingesetzt habe.

Bei der Beschaffung der Zertifikate setzten die Täter laut Microsoft ausschließlich auf kurzlebige Zertifikate mit einer Gültigkeit von 72 Stunden, um das Entdeckungsrisiko zu senken. Zur Identitätsprüfung beim Artifact Signing nutzten die Betreiber mutmaßlich gestohlene Identitäten aus den USA und Kanada. Microsoft zufolge erstellte Fox Tempest über tausend Zertifikate und legte Hunderte Azure-Mandanten und -Abonnements an; sämtliche dem Akteur zugeordneten Code-Signing-Zertifikate wurden widerrufen.

BleepingComputer hatte bereits im März 2025 über Akteure berichtet, die Microsofts Trusted-Signing-Dienst zum Signieren von Schadsoftware in einer Crazy-Evil-Traffers-Kampagne zum Diebstahl von Kryptowährung sowie in einer Lumma-Stealer-Kampagne missbrauchten. Auch diese Schadprogramme trugen Drei-Tage-Zertifikate; ob sie über die Plattform von Fox Tempest signiert wurden, ist unklar.

Anfang dieses Jahres baute Fox Tempest seinen Dienst aus und stellte Kunden vorkonfigurierte virtuelle Maschinen über die Infrastruktur von Cloudzy bereit. Kunden luden ihre Schadsoftware in diese Umgebungen und erhielten signierte Binärdateien mit von Fox Tempest kontrollierten Zertifikaten. Beworben wurde die Plattform über einen Telegram-Kanal namens „EV Certs for Sale by SamCodeSign", der Zugang kostete zwischen 5.000 und 9.000 US-Dollar in Bitcoin. Nach Einschätzung von Microsoft erzielte die Operation Millionengewinne und verfügte über umfangreiche Ressourcen für Infrastruktur, Kundenbetreuung und Finanztransaktionen.