Microsoft phá vỡ dịch vụ ký mã độc do 'Fox Tempest' vận hành

Microsoft vừa công bố đã thành công trong việc phá vỡ hoạt động của một dịch vụ tội phạm mạng chuyên cung cấp khả năng ký mã cho các phần mềm độc hại.

Theo gã khổng lồ công nghệ này, một tác nhân đe dọa được Microsoft đặt tên là Fox Tempest đã vận hành một dịch vụ ký mã độc theo mô hình dịch vụ (Malware-signing-as-a-service - MSaaS). Dịch vụ này lợi dụng tính năng Microsoft Artifact Signing để tạo ra các chứng chỉ ký mã có thời hạn ngắn.

Cảnh sát thực hiện lệnh bắt giữ liên quan đến tội phạm mạng

Các chứng chỉ này được sử dụng để ký cho mã độc, giúp chúng ngụy tạo thành phần mềm hợp pháp và dễ dàng lọt qua các hệ thống an ninh mà không bị phát hiện.

Quy mô và tác động

Microsoft cho biết Fox Tempest đã tạo ra hơn một nghìn chứng chỉ và thiết lập hàng trăm người thuê (tenant) và gói đăng ký Azure để hỗ trợ hoạt động của mình. Đáp lại, công ty đã thu hồi hơn một nghìn chứng chỉ ký mã thuộc về Fox Tempest.

Microsoft đã theo dõi Fox Tempest kể từ tháng 9 năm 2025 và cho biết dịch vụ của nhóm này đã được nhiều nhóm ransomware sử dụng, bao gồm cả Vanilla Tempest - nhóm mà Microsoft từng nhắm mục tiêu vào tháng 10 năm 2025. Dịch vụ MSaaS này đã được dùng để phát tán các loại ransomware như Rhysida, Inc, Qilin và Akira.

Ngoài ransomware, Fox Tempest còn hỗ trợ phân phối các họ mã độc khác như Lumma Stealer, Oyster và Vidar.

"Tác động hạ nguồn của các hoạt động này đã dẫn đến các cuộc tấn công vào một loạt các ngành công nghiệp, bao gồm y tế, giáo dục, chính phủ và dịch vụ tài chính, ảnh hưởng đến các tổ chức trên toàn cầu bao gồm cả Hoa Kỳ, Pháp, Ấn Độ và Trung Quốc," Microsoft tuyên bố.

Dịch vụ này có giá hàng nghìn đô la và Microsoft tin rằng tác nhân đe dọa này đã kiếm được hàng triệu USD từ hoạt động bất hợp pháp.

Hình ảnh minh họa về an ninh mạng

Các biện pháp đối phó

Trong nỗ lực phá vỡ hoạt động tội phạm mạng này, Microsoft đã tịch thu cơ sở hạ tầng cốt lõi, xóa các tài khoản gian lận và tăng cường quy trình xác minh cho các dịch vụ bị lạm dụng.

Công ty đã đệ đơn kiện nhắm vào Fox Tempest và Vanilla Tempest. Trong các chiến dịch triệt phá tội phạm mạng, các vụ kiện đóng vai trò là cơ chế pháp lý mạnh mẽ để tịch thu tên miền độc hại, tháo dỡ hạ tầng máy chủ và buộc các nhà cung cấp bên thứ ba phải ngừng hoạt động của các tổ chức tội phạm.

Microsoft đã tham gia vào nhiều chiến dịch triệt hạ dịch vụ tội phạm mạng trong năm qua, bao gồm các hoạt động nhắm vào RedVDS, RaccoonO365 và Tycoon 2FA.