Microsoft офіційно розсекретила судову справу в Південному окрузі Нью-Йорка, спрямовану проти кіберзлочинного угруповання Fox Tempest. Починаючи з травня 2025 року, ця група надавала тіньові послуги з підписування шкідливого коду зловживаючи легітимними інструментами, зокрема системою Microsoft Artifact Signing. Хакери отримували шахрайський доступ до цифрових сертифікатів, що дозволяло маскувати віруси під перевірене програмне забезпечення. Завдяки цьому зловмисники успішно обходили системи захисту кінцевих точок, інфікуючи тисячі комп’ютерів і корпоративних мереж по всьому світу. Клієнтами Fox Tempest були сумнозвісні оператори програм-вимагачів, такі як угруповання Vanilla Tempest, а також філіали INC, Qilin та Akira. Зловмисники розповсюджували підписані файли через маніпуляції з пошуковою видачею, фейкові сторінки завантаження Microsoft Teams та шкідливу рекламу, активно використовуючи штучний інтелект для генерації та масштабування фішингових кампаній.

У межах безпрецедентної операції з нейтралізації загрози компанія Microsoft конфіскувала основний домен угруповання signspace[.]cloud та заблокувала доступ до інфраструктури, що містила вихідний код сервісу. Крім того, сотні віртуальних машин, які забезпечували безперебійну роботу MSaaS, були примусово відключені від мережі. Бізнес-модель Fox Tempest принесла її творцям мільйонні прибутки за рахунок продажу “легітимності” іншим кіберзлочинцям через закриті Telegram-канали. Коли Microsoft почала відкликати шахрайські сертифікати та посилювати захист, у лютому 2026 року оператори сервісу мігрували на мережі сторонніх хостинг-провайдерів, щоб зберегти працездатність. Попри успішне блокування основної інфраструктури, аналітики кібербезпеки фіксують спроби клієнтів Fox Tempest швидко перенести свої операції на інші, ще не заблоковані тіньові сервіси підписування коду.