Microsoft derruba operação internacional de malware oferecido como serviço

Lead

Em uma ação coordenada envolvendo Microsoft, FBI, Europol e parceiros da indústria, uma sofisticada operação criminosa foi desmantelada nesta semana. O grupo, identificado como Fox Tempest, operava um modelo de negócio ilícito que comercializava acesso a vírus e ferramentas de ataque em uma estrutura semelhante a serviços de assinatura, causando danos em setores críticos de saúde, educação e finanças em múltiplos países.

Operação Fox Tempest

A operação Fox Tempest funcionava como uma verdadeira empresa criminosa, oferecendo certificados digitais fraudulentos que permitiam seus clientes distribuir malware com aparência legítima. Os certificados tinham validade de apenas 72 horas, um mecanismo sofisticado para evitar detecção, mas a Microsoft conseguiu revogar e bloquear mais de 1.000 certificados atribuídos ao grupo. O modelo comercial oferecia diferentes pacotes de serviço, com preços variando entre US$ 5 mil e US$ 9,5 mil, sendo clientes pagadores beneficiados com acesso prioritário à infraestrutura criminosa.

O portfólio de malware disponibilizado era extenso e diversificado. A operação facilitava a distribuição de diversos ransomwares, incluindo Rhysida, Qilin, INC, Akira e BlackByte, além de softwares que roubam informações financeiras e pessoais, como o Lumma Stealer e Vidar. Ferramentas de backdoor, entre elas o Oyster (também conhecido como Broomstick), completavam o arsenal disponibilizado aos criminosos clientes.

Escala e Impacto Global

Análises de fluxos de criptomoedas indicam que a operação gerou lucros na ordem de milhões de dólares, revelando uma organização estruturada, com gestão de infraestrutura, relacionamento com clientes e operações financeiras. O grupo permaneceu em atividade desde maio de 2025, mantendo-se como ameaça latente até o mês passado, quando foram detectadas tentativas de migração das operações para novos locais.

Os setores afetados pela operação incluem instituições de saúde, educação, órgãos governamentais e serviços financeiros nos Estados Unidos, França, Índia e China. A ação de desmantelamento, denominada "OpFauxSign", incluiu o encerramento do site signspace[.]cloud, desativação de centenas de máquinas virtuais usadas na operação e bloqueio de repositórios no GitHub que hospedavam códigos da infraestrutura criminosa.

Coordenação Internacional

A coordenação internacional entre agências de segurança e grandes empresas de tecnologia marca um ponto de inflexão no combate a operações criminosas de grande escala. A cooperação demonstra que ameaças transnacionais exigem respostas coletivas e estruturadas, envolvendo autoridades públicas e setor privado em esforço conjunto. Este caso exemplifica como a integração de investigação, inteligência técnica e operações coordenadas é fundamental para desmantelar redes criminosas sofisticadas que colocam em risco infraestruturas críticas globalmente.