---
title: "Microsoft desmantela serviço de cibercrime Fox Tempest"
author: "Ignácio Afonso"
date: "2026-05-20 08:30:00-03"
category: "Segurança & Privacidade"
url: "http://desbugados.scale.press/portal/desbugados/post/2026/05/20/microsoft-desmantela-servico-de-cibercrime-fox-tempest/md"
---

## Resumo
- Microsoft abre processo na Corte de Nova York contra o Fox Tempest
- Serviço operou desde maio de 2025 gerando mais de mil certificados falsos
- Ação derrubou site signspace.cloud e centenas de máquinas virtuais
- Grupos como Vanilla Tempest, Rhysida, INC, Qilin e Akira usaram o serviço
- Mais de mil certificados revogados e milhões de dólares em prejuízo para criminosos

---

Em 19 de maio de 2026, a Microsoft apresentou à Corte Distrital dos Estados Unidos para o Distrito Sul de Nova York uma ação que desmantelou o Fox Tempest, um serviço de malware-signing-as-a-service (MSaaS) que, desde maio de 2025, permitia que criminosos disfarcassem programas maliciosos como software legítimo.

## Como funcionava o esquema de assinaturas fraudulentas

O Fox Tempest explorava ferramentas oficiais de assinatura de código, incluindo o Microsoft Artifact Signing, para gerar mais de mil certificados de curta duração. Esses certificados funcionam como um selo digital que atesta a origem e integridade de um programa; quando falsificados, fazem com que antivírus e sistemas operacionais tratem o malware como confiável. A operação gerou milhões de dólares em lucros para seus operadores.

## Ação judicial e infraestruturas derrubadas

Com ordem judicial, a Microsoft confiscou o domínio signspace[.]cloud, desligou centenas de máquinas virtuais que executavam o serviço e bloqueou o acesso a repositórios que hospedavam o código do sistema. A empresa também revogou todos os certificados obtidos de forma fraudulenta. A ação nomeia o grupo Vanilla Tempest como co-conspirador e liga o Fox Tempest a afiliados de ransomware como Rhysida, INC, Qilin, Akira, Storm-0501, Storm-2561 e Storm-0249.

## Malwares distribuídos por meio do serviço

Entre os programas entregues via Fox Tempest estavam o ransomware Rhysida e os stealers Oyster, Lumma Stealer e Vidar. O serviço esteve ativo por pelo menos um ano, tendo sido rastreado pela Microsoft desde setembro de 2025. A colaboração envolveu a parceira Resecurity, o EC3 da Europol e o FBI.

Para entender melhor ações semelhantes da Microsoft contra redes de malware, confira [este relato sobre a operação que derrubou o Lumma Stealer](https://desbugados.com.br/post/2025/05/24/microsoft-destroi-rede-global-de-hackers-com-golpe-mortal-no-malware-lumma).