文章总结： 微软披露其OpFauxSign行动端掉FoxTempest黑产团伙的MSaaS服务，该团伙通过窃取身份信息滥用微软ArtifactSigning服务，为恶意软件提供72小时有效期的合法签名，并构建自动化签名平台。攻击链涉及SEO投毒、签名加载器投放及勒索软件分发，凸显零信任架构和基于行为检测的必要性。 综合评分： 87 文章分类： 恶意软件,免杀,安全工具,漏洞预警,解决方案

微软出手干掉千万级“黑产”！底层技术细节全揭秘：黑客是如何白嫖官方签名的？

原创

Kit Chung Kit Chung

安全圈动向

2026年5月25日 08:03 广东

在小说阅读器读本章

去阅读

今天带大家吃个硬核的“技术瓜”。微软终于受不了了，直接出手端掉了一个潜伏了一年多的超级黑产网络——行动代号 OpFauxSign。

大家做安全防御，最头疼的是什么？肯定是免杀。如果黑客投递的木马本身就带着微软官方的、受信任的数字签名，大部分终端杀软（EDR/杀毒软件）都会直接放行。今天咱们就来深度盘一盘，这个名为 Fox Tempest 的黑产团伙，是如何把微软自家的签名服务按在地上摩擦，甚至搞出了一套成熟的“签名即服务（MSaaS）”商业化架构的。

01. 核心危机：当“护身符”变成“通行证”

在聊技术细节前，我先科普个概念：MSaaS（Malware-Signing-as-a-Service，恶意软件签名即服务）。

以前黑客搞免杀，得自己去偷证书，或者用各种混淆手段。但 Fox Tempest 这帮人非常有商业头脑，他们直接搭建了一个名为 signspace[.]cloud 的平台，明码标价：5000 到 9000 美元，帮你把恶意代码签上官方认证的合法签名。

这导致了什么后果？像 AnyDesk、Microsoft Teams、PuTTY 这些大家常用的办公运维软件，全被黑客套上了真签名，明目张胆地投毒。知名勒索病毒组织如 Rhysida，以及 INC、Qilin 等都在用他们的服务。

技术痛点：

当攻击者能让恶意软件看起来和正常软件在密码学上完全一致时，传统的基于“签名信任”的安全基线就彻底失效了。

02. 滥用路径还原：他们是怎么白嫖微软Artifact Signing的？

这篇文章最让我感兴趣的，是他们的技术实现路径。他们盯上的是微软的 Artifact Signing（以前叫 Azure Trusted Signing）。这本来是微软给开发者提供的一站式云端签名方案。

Fox Tempest 并没有去破解微软的密码学算法（这几乎不可能），而是利用了身份验证环节的逻辑漏洞与社工手段。

• 绕过身份验证 (VC验证)：

  要在 Artifact Signing 获取合法签名，必须通过行业标准的可验证凭证 (Verifiable Credentials, VC)流程。这帮人极其狡猾，他们使用了大量窃取来的美国和加拿大企业/个人身份信息，伪装成合法实体，成功骗过了这套身份校验机制。

• 云原生架构搭建：

  成功潜入后，他们利用 Azure 订阅、证书和结构化数据库，硬是把 SignSpace 网站搭建在了 Artifact Signing 的底座上。前端给黑客客户提供 Admin 面板和 User 页面，后端直接调用微软的 API 签名。

• 短生命周期证书 (72小时)：

  为了逃避安全审计和吊销机制，他们生成的代码签名证书有效期极短，只有72小时。打一枪换一个地方，等你发现异常，证书早就过期了，但这72小时足够木马完成初期的扩散和免杀驻留。

03. 架构演进：从Web平台到云端自动化流水线

技术的迭代在黑产圈同样适用。根据微软的披露，到了 2026 年 2 月，Fox Tempest 甚至对自己的 MSaaS 架构进行了“升级”，这套工程化能力让人咋舌。

• 旧版模式：

  客户登录 Web 面板 -> 手动上传木马文件 -> 等待后台签名 -> 下载签名后的二进制文件。

• 新版模式 (自动化 VM 交付)：

  团伙开始在 Cloudzy 云平台上托管预配置的虚拟机（VMs），直接交付给客户。

这种技术架构演进带来了质的飞跃：黑客客户只需要把 Payload（载荷）推送到这些受控基础设施上，就能直接通过自动化脚本返回签好名的二进制文件（Signed Binaries）。这极大降低了 API 调用的摩擦，提升了隐蔽性（OPSEC），实现了恶意软件的规模化、流水线式分发。

04. 真实攻击链拆解：Vanilla Tempest 是怎么投毒的？

光说不练假把式，咱们来看看拿着这些签名的“客户”是怎么实战的。以黑产团伙 Vanilla Tempest 为例，他们的攻击路径非常经典，值得所有企业安全团队拉响警报：

• 第一步：SEO投毒/恶意广告。

  在搜索引擎购买合法广告位，伪装成 Microsoft Teams 的下载链接。

• 第二步：流量重定向。

  用户搜索 Teams，点击广告，被重定向到极其逼真的钓鱼下载页。

• 第三步：投递受信任载荷。

  用户下载的并不是 Teams，而是经过 Fox Tempest 签名的 Oyster (又名 Broomstick) 加载器。因为有真签名，杀软大概率沉默。

• 第四步：横向移动与勒索。

  Oyster 在内网驻留后，最终释放致命的 Rhysida 勒索软件，完成闭环。

05. 微软的反杀：钓鱼执法与釜底抽薪

面对这种把自家基础设施当枪使的行为，微软不出手是不可能了。

有意思的是，根据法庭文件披露，为了掌握核心证据，微软在 2026 年 2 月到 3 月期间，安排了一个“合作消息源”（基本可以理解为白帽子卧底），自掏腰包购买并测试了这套 MSaaS 服务，把后端的 API 交互和服务器 IP 摸了个底朝天。

最终的 OpFauxSign 行动非常干脆：

• 拔网线：

  查封了核心域名 signspace[.]cloud。

• 关停资源：

  直接在云端干掉了数百台运行该操作的虚拟机。

• 代码封杀：

  封锁了托管底层代码的站点访问。

总结与思考

看完这个案例，不知道大家有什么感受？我个人的体会是：“零信任（Zero Trust）”真的不能只是一句口号了。

当黑产已经开始熟练使用云原生架构、API 自动化，甚至能批量伪造权威身份证明时，我们不能再仅仅依赖某个文件“是否有官方签名”来判断它的安全性。基于行为的检测（Behavioral Analysis）、严密的流量监控以及对凭据滥用的审计，才是下一代终端安全的重中之重。

互动时间：

大家在平时的工作中，遇到过这种“带合法签名的免杀木马”吗？你们的安全设备都是怎么防御的？欢迎在评论区留言，我们一起探讨切磋！

如果你觉得这篇文章对你有帮助，记得点赞、在看、转发三连，我们下期技术干货再见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《微软出手干掉千万级“黑产”！底层技术细节全揭秘：黑客是如何白嫖官方签名的？》