Unit Kejahatan Digital Microsoft (Digital Crimes Unit – DCU) bekerja sama dengan otoritas hukum Pengadilan Distrik AS untuk Distrik Selatan New York resmi membongkar sindikat kejahatan siber internasional bermotif ekonomi yang melacak dirinya dengan nama Fox Tempest.
Kelompok ini mengoperasikan layanan ilegal berskala masif bernama Malware-Signing-as-a-Service (MSaaS) melalui domain utama signspace[.]cloud. Layanan ini disewakan kepada berbagai geng ransomware papan atas untuk memalsukan tanda tangan digital (code-signing certificates) pada file malware, sehingga sistem operasi Windows tertipu dan menganggap program jahat tersebut sebagai perangkat lunak legal yang aman.
Modus Operandi: Eksploitasi Layanan Microsoft “Trusted Signing”
Untuk menghasilkan sertifikat digital yang valid, Fox Tempest secara licik menyalahgunakan platform awan milik Microsoft sendiri, yaitu Azure Artifact Signing (yang sebelumnya dikenal sebagai Trusted Signing). Layanan resmi yang dirilis Microsoft pada tahun 2024 ini sebenarnya ditujukan untuk mempermudah para pengembang aplikasi mendapatkan sertifikat otentikasi dari Microsoft.
Mekanisme penipuan ini berjalan sangat rapi melalui beberapa tahapan teknis:
- Pencurian Identitas Korban: Operator Fox Tempest diduga menggunakan data identitas curian milik warga negara Amerika Serikat dan Kanada untuk melewati proses verifikasi identitas (identity verification) ketat yang disyaratkan oleh Microsoft.
- Pembuatan Ratusan Tenant Azure: Setelah lolos verifikasi, mereka membuat ratusan akun penyewa (Azure tenants) serta melahirkan lebih dari 1.000 sertifikat digital palsu.
- Penggunaan Sertifikat Berumur Pendek (Short-Lived): Guna menekan risiko deteksi oleh tim keamanan Microsoft, Fox Tempest hanya menerbitkan sertifikat digital dengan masa aktif super pendek, yaitu hanya berlaku selama 72 jam (3 hari).
- Menjual Akses via Telegram: Sindikat ini mempromosikan platform enkripsi mereka di jaringan Telegram melalui channel bernama “EV Certs for Sale by SamCodeSign”. Akses ke sistem MSaaS ini dihargai sangat mahal, berkisar antara $5.000 hingga $9,000 (sekitar Rp80 juta – Rp143 juta) yang wajib dibayar menggunakan Bitcoin. Lewat bisnis ini, pelaku meraup keuntungan jutaan dolar AS.
Menyamar Sebagai Microsoft Teams dan PuTTY
Aktor siber yang membeli layanan Fox Tempest memanfaatkan sertifikat jangka pendek tersebut untuk membungkus berbagai jenis malware berbahaya seperti Oyster, Lumma Stealer, dan Vidar. File berbahaya tersebut kemudian diubah namanya untuk menyamar sebagai installer software populer yang sering diunduh pengguna, seperti Microsoft Teams, AnyDesk, PuTTY, dan Webex.
📄 Isi Dokumen Gugatan Hukum Microsoft: “Ketika korban yang tidak menaruh curiga mengeksekusi file installer Microsoft Teams palsu tersebut, file itu akan meluncurkan pemuat berbahaya (malicious loader) yang menginstal malware Oyster yang telah ditandatangani secara ilegal. Karena malware Oyster dibungkus oleh sertifikat resmi dari layanan Artifact Signing milik Microsoft, sistem operasi Windows secara otomatis mengenalinya sebagai perangkat lunak tepercaya, yang dalam kondisi normal seharusnya langsung dicegat atau diblokir total oleh kontrol keamanan Windows Defender.”
Setelah malware Oyster berhasil menguasai komputer korban, ia akan bertindak sebagai pembuka pintu bagi masuknya serangan enkripsi dari kelompok-kelompok ransomware raksasa, termasuk Rhysida, Akira, INC Ransomware, Qilin, dan BlackByte.
Aksi Pelumpuhan Infrastruktur Komputasi
Dalam operasi penindakan yang digelar pada Mei 2026 ini, Microsoft melakukan serangan balik yang melumpuhkan total operasional Fox Tempest:
- Penyitaan Domain: Domain utama
signspace[.]cloudtelah disita secara hukum dan kini dialihkan (redirect) ke situs penjelasan milik Microsoft. - Pembersihan Server: Mematikan ratusan mesin virtual (VM) yang disewa pelaku di atas infrastruktur penyedia cloud Cloudzy, yang digunakan sebagai tempat bagi para pembeli untuk mengunggah malware dan mengunduh file biner yang sudah ditandatangani.
- Revokasi Massal: Microsoft resmi mencabut (revoke) lebih dari 1.000 sertifikat digital yang terafiliasi dengan jaringan Fox Tempest guna memastikan sistem operasi Windows di seluruh dunia memblokir file-file lama yang sempat ditandatangani pelaku.
- Jerat Hukum Co-Conspirator: Microsoft juga memasukkan nama kelompok ransomware Vanilla Tempest (afiliasi dari INC Ransomware) sebagai komplotan utama dalam berkas gugatan hukum di pengadilan karena keterlibatan aktif mereka menggunakan infrastruktur MSaaS ini.