Nach Darstellung von Microsoft handelt es sich bei Fox Tempest um eine gut ausgestattete Operation mit eigenen Abteilungen für Infrastruktur, Kundenbetreuung und Finanztransaktionen. Der Dienst nutzte Microsoft Artifact Signing, um kurzlebige, gefälschte Code-Signing-Zertifikate zu erstellen. Insgesamt habe die Gruppe über tausend Zertifikate ausgestellt und Hunderte Azure-Mandanten und -Abonnements für ihren Betrieb eingerichtet. Microsoft erklärte, mehr als 1.000 Fox Tempest zugeschriebene Zertifikate widerrufen zu haben.

Den Dienst nutzten laut Microsoft Ransomware-Akteure, die mit großen Gruppen wie Rhysida, INC, Qilin und Akira in Verbindung stehen. Sie luden ihre Malware auf die Fox-Tempest-Seite, ließen sie legitimieren und richteten anschließend gefälschte Websites ein, die sich als echte Plattformen zum Download sicherer Software ausgaben. Durch die kurzlebigen Zertifikate aus einer vertrauenswürdigen Quelle ähnelte die Schadsoftware legitimen Programmen wie AnyDesk, Teams, Putty und Webex.

„Schadsoftware, die von Antivirenprogrammen und anderen Schutzmechanismen hätte blockiert oder markiert werden müssen, wurde mit höherer Wahrscheinlichkeit geöffnet, ausgeführt oder durch Sicherheitsprüfungen durchgelassen – Malware konnte sich praktisch in aller Öffentlichkeit verstecken", sagte Masada. „Statt sich gewaltsam Zutritt zu verschaffen, konnten die Angreifer durch die Vordertür schlüpfen, indem sie sich als willkommener Gast ausgaben."

Sicherheitsfachleute von Microsoft beobachteten, dass über den Dienst Malware-Familien wie Oyster, Lumma Stealer und Vidar verbreitet wurden. Die signierte Schadsoftware gelangte über gekaufte Werbeanzeigen und über Links, die wie legitime Websites aussahen, zu den Opfern. Eine Analyse von Kryptowährungs-Zahlungen ergab laut Microsoft, dass Fox Tempest von Ransomware-Partnern Millionenbeträge erhielt; das Werkzeug kam bei Angriffen auf Organisationen in den USA, China, Frankreich und Indien zum Einsatz.

Im Zuge der Aktion beschlagnahmte Microsoft die Website von Fox Tempest, nahm Hunderte virtuelle Maschinen offline und blockierte den Zugriff auf eine Seite, die den zugrundeliegenden Code hostete. Nach eigenen Angaben sicherte das Unternehmen Beweise, die zeigen, wie sich Cyberkriminelle über die Maßnahmen beschwerten.

Masada wertet das Modell als Beleg dafür, wie sich das kriminelle Ökosystem unter dem Druck fortlaufender Zerschlagungsaktionen wandelt. Während illegale Code-Signing-Zertifikate seit Langem verkauft würden, zeige Fox Tempest, dass dies inzwischen skalierbar als Dienstleistung angeboten werde: „Statt Zertifikate einzeln zu kaufen, laden Kriminelle ihre Malware auf einen Dienst hoch, der sie für sie signiert." Auffällig sei zudem die Höhe der Investitionen. Anders als günstige Angebote wie der Infrastruktur-Anbieter RedVDS, der ab 24 Dollar im Monat koste und den Microsoft zuvor in diesem Jahr zerschlagen habe, zeige Fox Tempest, dass anspruchsvollere Akteure bereit seien, Tausende Dollar für fortgeschrittene Fähigkeiten zu zahlen.