Microsoftは、Fox Tempest事業を運営する詐欺的シンジケートに対して正式な民事訴訟を開始しました。この事業は違法なインフラストラクチャ交換所であり、サイバー犯罪者が悪意のあるペイロードを無害なアプリケーションに見せかけることを可能にしていました。同サービスは、暗号学的に有効なデジタル署名を武器化されたバイナリに付与することで、自動化されたエンドポイント保護エンジンを体系的に破壊し、消費者の信頼を操作し、ターゲットシステムに感染したファイルを正当なソフトウェア資産として受け入れさせていました。
Microsoftがまとめた法医学分析によると、Fox Tempestは2025年5月以来稼働しており、特化した「マルウェアコード署名サービス」という商業アーキテクチャを開拓しました。プラットフォームのオーケストレータは、正当なコード署名フレームワークを違法に破壊し、特にMicrosoft Artifact署名ゲートウェイを侵害しました。これらの検証メカニズムは慣例的には暗号学的整合性を保証し、開発者の出所を検証するために展開されていますが、Fox Tempestはこの基本的な信頼プリミティブを体系的に反転させ、悪意のあるペイロード配布のための高効率ベクトルに変換してしまいました。
テクノロジー企業は、ニューヨーク南部地区の米国地方裁判所から緊急差止命令を成功裏に確保し、Fox Tempestの運用アーキテクチャを積極的に解体することの許可を与えられました。Microsoftは、重要なsignspace[.]cloudドメインの制御を掌握し、サービスのランタイムキャパシティを支える数百の仮想マシンインスタンスを永久に終了し、主要なコードベースをホストするリポジトリへのアクセスを遮断しました。同時に、Microsoftは不正に取得された暗号学的証明書全体を取り消し、関連するファントム開発者テナンシーを抹消し、エコシステムを平行な複製戦略から永久に隔離するための強化された身元確認境界を実装しました。
この違法なツールは、著名なランサムウェアシンジケートの多数によって広く利用されました。正式な法的苦情において、Microsoftは脅威団体Vanilla Tempestを主要な共謀者として明示的に指定しました。テレメトリは、この侵略的な敵対者がFox Tempestの署名パイプラインを統合して、Oyster、Lumma Stealer、Vidarインフォストレイナー株と破壊的なRhysidaランサムウェア変種を安全に伝播させたことを明らかにしています。Vanilla Tempestは歴史的に教育機関、医療ネットワーク、および重要な市民インフラストラクチャを標的にしてきました。関連するRhysidaセルは、以前のイギリス図書館の壊滅的なデータ流出侵害とシアトル・タコマ国際空港の深刻な運用妨害に関与していました。
さらに、Microsoftは、INC、Qilin、およびAkiraランサムウェアファミリーを代表するアフィリエイトおよび展開フレームワークをFox Tempestに接続する決定的な技術的リンクを確立しました。企業は、この特定のオペレータを無力化することが、より広いアンダーグラウンド経済に深刻な戦略的打撃を与えることを強調しています。Fox Tempestは、高度に断片化されたサイバー犯罪エコシステム内の重要で集約された依存関係を独占していました。悪意のある開発者、初期アクセスブローカー、および周辺防御を破壊するタスクを担当するインフラストラクチャエンジニア間の運用ギャップを橋渡ししていました。
Microsoftの法医学的再構成は、Fox Tempest運用モデルの計算された単純性を明らかにしています。オペレータは、合成プロフィールと偽造されたビジネス認証情報を使用して、何百ものの詐欺的なMicrosoft企業アイデンティティを合成しました。下流のクライアントは、その後、専用のウェブポータルを通じて悪意のあるコードアーティファクトを流出させ、その後、サービスはFox Tempestの直接的な管理統括下にある証明書を利用してバイナリをプログラム的に署名しました。犯罪シンジケートは、ポータルアクセスのために数千ドルの継続的なサブスクリプション料金を提供し、数百万ドルに規模することが推定される集計収益ストリームを生成しました。
ファイルが暗号学的検証を受けた後、マルウェアは日常的なファイル評判フィルタとホスト警告を容易にバイパスしました。敵対者は、クローンされたランディングページ、悪意のある広告シンジケート(malvertising)、および検索エンジン最適化(SEO)ポイズニング戦術を介してこれらの署名されたペイロードを体系的に配布しました。Microsoftは、脅威アクターが、ソーシャルエンジニアリング引き寄せを改善し、展開キャンペーンの速度を加速し、欺瞞的なフレームワークの全体的な信頼性を向上させるために、生成的人工知能ユーティリティをますます武装化していると指摘しています。
Fox Tempestは相当な回復力を示し、Microsoftの初期的な緩和掃引に応じて技術的インフラストラクチャを迅速に回転させました。2026年2月、オペレータは、運用の継続性を維持するために、サードパーティのクラウドインフラストラクチャプロバイダーがホストしている代替の仮想マシンアーキテクチャにコア管理ワークロードを移行しました。その後の標的化された封じ込めの波に続いて、オーケストレータは、隣接する非関連のコード署名サービスにクライアントベースを体系的にオフボードしようとしました。Microsoftは、アンダーグラウンドフォーラム内のリアルタイムチャッターが、Fox Tempestのコア運用インフラストラクチャへのアクセスが包括的に麻痺していることを示していると報告しています。
この同期された解体作戦は、Resecurity、Europol’s European Cybercrime Centre(EC3)、および米国連邦捜査局(FBI)との緊密な協力のもとでオーケストレーションされました。敵対的なオペレータと彼らのそれぞれの企業クライアントネットワークが、彼らの破壊された運用ファブリックを積極的に再構築しようとすることを予想して、Microsoftは業界パートナーと平行した国際証明書当局の横で持続的な構造的圧力を維持する意図があります。
