Microsoft zerstört MSaaS-Netzwerk: Wenn Vertrauen zur Waffe wird
In der Cybersicherheitslandschaft ist ein erfolgreicher Schlag gegen die zunehmende Professionalisierung von Cyberkriminalität gelungen. Microsoft hat am Dienstag die Zerschlagung einer umfangreichen "Malware-Signing-as-a-Service" (MSaaS)-Operation bekannt gegeben. Das Ziel: Fox Tempest, ein Bedrohungsakteur, der seit Mai 2025 eine Art Amazon für digital signierte Schadsoftware betrieb. Die Aktion trägt den passenden Codenamen OpFauxSign.
Doch dieser Fall ist mehr als nur ein weiterer Razzia-Bericht. Er offenbart eine tiefe, fast paradoxe Schwachstelle in modernen Vertrauensarchitekturen: Die Infrastruktur, die uns vor Malware schützen soll, wird von genau jenen Akteuren als Waffe missbraucht, die sie eigentlich abwehren soll.
Der Missbrauch des eigenen Vertrauenssiegels
Der Kern der Operation dreht sich um Microsofts "Artifact Signing" (früher bekannt als Azure Trusted Signing). Dieses System ist dafür gedacht, Entwicklern eine vollständig verwaltete Lösung an die Hand zu geben, um ihre Anwendungen als legitim und unverfälscht zu kennzeichnen. Digitale Signaturen sind das Goldstandard-Verfahren, um Nutzer und Sicherheitssoftware davon zu überzeugen, dass eine Datei sicher ist.
Fox Tempest hat genau dieses System gehackt – nicht durch einen Software-Exploit, sondern durch Identitätsdiebstahl. Um an die begehrten Zertifikate zu kommen, nutzten die Angreifer gestohlene Identitäten aus den USA und Kanada. Sie gaben sich als legitime Unternehmen aus und bestanden die Identitätsprüfungen von Microsoft. Das Ergebnis: Kurzzeitige, aber völlig legitime Code-Signing-Zertifikate mit einer Gültigkeit von lediglich 72 Stunden.
Malware-Signing-as-a-Service: Der Amazon-Code für Kriminelle
Was Fox Tempest daraus machte, ist ein Lehrbeispiel für die Industrialisierung von Cybercrime. Sie bauten die Plattform SignSpace (signspace[.]cloud) auf. Diese Website nutzte die von Microsoft fraudulent erlangten Zertifikate, um zahlenden Kunden einen automatisierten Signatur-Service anzubieten.
Für einen Preis zwischen 5.000 und 9.000 US-Dollar konnten Cyberkriminelle ihre Schadsoftware hochladen und erhielten im Gegenzug eine Datei, die für Betriebssysteme und Antiviren-Programme wie legitime Software von AnyDesk, Microsoft Teams, PuTTY oder Cisco Webex aussah. Ab Februar 2026 perfektionierte Fox Tempest den Service sogar noch: Statt eines simplen Web-Panels stellten sie vorkonfigurierte virtuelle Maschinen (VMs) über den Hosting-Anbieter Cloudzy zur Verfügung. Dies reduzierte die Reibung für die Kunden, verbesserte die operative Sicherheit (OPSEC) der Betreiber und skalierte die Lieferung von vertrauenswürdiger, signierter Malware massiv.
Die verheerende Auswirkung in der Praxis
Die Folgen dieser MSaaS-Plattform sind gravierend. Über Fox Tempests Service wurde eine ganze Armada an Schadsoftware signiert und verteilt. Dazu gehören bekannte Ransomware-Familien wie Rhysida (eingesetzt durch Vanilla Tempest), INC, Qilin, BlackByte und Akira, aber auch Infostealer wie Lumma und Vidar sowie Backdoors wie Oyster.
Die Angriffe waren alles andere als unkoordiniert: Sie zielten gezielt auf kritische Sektoren wie das Gesundheitswesen, Bildung, Regierungsbehörden und Finanzdienstleister in den USA, Frankreich, Indien und China. Ein besonders tückischer Angriffsvektor war der Kauf legitimer Werbeanzeigen, die Nutzer, die nach Microsoft Teams suchten, auf gefälschte Download-Seiten umleiteten. Dort luden sie scheinbar echte Software herunter, die in Wahrheit durch Fox Tempest signierte Oyster-Malware enthielt, die wiederum Rhysida-Ransomware auslöste.
Die kritische Einordnung: Das fundamentale Problem
Microsoft hat reagiert: Hunderte VMs wurden offline genommen, die Seite signspace[.]cloud beschlagnahmt und die illegal erlangten Zertifikate widerrufen. Sogar einen "cooperativen source" nutzte Microsoft zwischen Februar und März 2026, um den Dienst inkognito zu testen und Beweise zu sammeln.
Doch die tieferliegende Frage bleibt unbeantwortet: Wie robust sind unsere Systeme zur Identitätsverifikation wirklich? Wenn ein System wie Artifact Signing, das auf branchenüblichen "Verifiable Credentials" (VC) basiert, durch einfache Identitätsdiebstähle in den USA und Kanada derart massiv kompromittiert werden kann, steht das Vertrauensmodell selbst auf dem Prüfstand.
Die Einführung von 72-Stunden-Zertifikaten war eigentlich als Sicherheitsfeature gedacht, um den Schaden bei Kompromittierung zu begrenzen. In der Praxis wurde es hier jedoch zum Feature für Kriminelle: Die kurze Gültigkeit bedeutete, dass die Malware zwar signiert ausgeliefert wurde, das Zertifikat aber bereits verfallen war, bevor Sicherheitsforscher reagieren konnten. Es war ein Katz-und-Maus-Spiel, bei dem Fox Tempest stets versuchte, auf alternative Signing-Services auszuweichen, wenn Microsoft Gegenmaßnahmen ergriff.
Wie Steven Masada von Microsofts Digital Crimes Unit treffend zusammenfasst: "Wenn Angreifer bösartige Software als legitim erscheinen lassen können, untergraben sie die Art und Weise, wie Menschen und Systeme entscheiden, was sicher ist."
Die Zerschlagung von Fox Tempest ist ein wichtiger Schlag gegen das MSaaS-Modell. Er zeigt aber auch unmissverständlich auf, dass die SaaS-Ökonomie längst im Unterwasser angekommen ist. Solange Identitätsprüfungen nicht signifikant robuster werden, bleibt das Vertrauenssiegel der digitalen Welt ein zweischneidiges Schwert.
Quelle: The Hacker News
