Der von Microsoft als Fox Tempest bezeichnete Akteur bot Cyberkriminellen einen Signierdienst an, mit dem sich Schadsoftware als legitime Programme tarnen ließ. Grundlage war der Missbrauch von Microsoft Artifact Signing, über den der Dienst kurzlebige Code-Signaturzertifikate ausstellte. Solche Signaturen erleichtern es Malware, an Schutzmechanismen vorbeizukommen, weil signierter Code als vertrauenswürdig eingestuft wird.
Nach Angaben von Microsoft erstellte Fox Tempest mehr als tausend Zertifikate und richtete Hunderte von Azure-Tenants und -Abonnements ein, um den Betrieb aufrechtzuerhalten. Inzwischen hat der Konzern eigenen Angaben zufolge über tausend dieser Fox Tempest zugeschriebenen Zertifikate widerrufen.
Microsoft verfolgt die Gruppe nach eigenen Angaben seit September 2025. Der Dienst sei von mehreren Ransomware-Gruppen genutzt worden, darunter Vanilla Tempest, gegen die Microsoft im Oktober 2025 vorging. Über das MSaaS-Angebot wurden den Angaben zufolge Ransomware-Familien wie Rhysida, Inc, Qilin und Akira ausgeliefert. Neben Ransomware unterstützte Fox Tempest auch die Verbreitung weiterer Schadsoftware, darunter Lumma Stealer, Oyster und Vidar.
Die Folgen reichten laut Microsoft über zahlreiche Branchen hinweg, darunter Gesundheitswesen, Bildung, Behörden und Finanzdienstleister. Betroffen waren Organisationen weltweit, unter anderem – aber nicht ausschließlich – in den USA, Frankreich, Indien und China. Der Dienst habe mehrere tausend Dollar gekostet; Microsoft geht davon aus, dass der Akteur damit Millionen einnahm.
Um die Operation zu stören, beschlagnahmte Microsoft zentrale Infrastruktur, entfernte betrügerische Konten und verschärfte die Prüfverfahren der missbrauchten Dienste. Zudem reichte der Konzern eine Klage gegen Fox Tempest und Vanilla Tempest ein. Solche Klagen dienen bei der Zerschlagung krimineller Strukturen als rechtliches Mittel, um schädliche Domains zu beschlagnahmen, Server-Infrastruktur abzuschalten und Drittanbieter zur Abschaltung krimineller Angebote zu zwingen.
Microsoft war im vergangenen Jahr an mehreren Abschaltungen krimineller Dienste beteiligt, darunter Operationen gegen RedVDS, RaccoonO365 und Tycoon 2FA.
