Root Cause: Kepercayaan Artifact Signing Bisa Dibeli dengan Identitas Curian
Microsoft Artifact Signing memungkinkan developer menandatangani binary mereka melalui proses verifikasi identitas berbasis Verifiable Credentials (VC). Pipeline-nya dirancang ketat hanya entitas yang benar-benar terverifikasi yang dapat memperoleh sertifikat. Masalahnya muncul di titik paling awal: identity validation bergantung pada data, dan data dapat dicuri.
Microsoft mengakui bahwa Fox Tempest kemungkinan besar menggunakan identitas curian milik individu berbasis AS dan Kanada untuk berpura-pura sebagai entitas bisnis yang sah. Begitu identity validation berhasil dilewati, sistem memberikan akses yang sepenuhnya legitimate. Dari perspektif infrastruktur signing, tidak ada yang terlihat anomalous, requestor tercatat sebagai "entitas sah" dengan Azure subscription yang aktif.
Ini merupakan masalah yang bersumber dari fondasi kepercayaan atau trust anchor karena sistem ini hanya melihat identitas di awal..." > Penjelasan: Ini benar sekali. Sistem Artifact Signing memang melakukan validasi identitas di awal menggunakan standar Verifiable Credentials (VC). Jika di awal identitasnya lolos, sistem akan langsung mempercayai pengguna tersebut.
Infrastructure Stack: SignSpace Dibangun di Atas Microsoft Sendiri
Fox Tempest membangun layanannya dengan pendekatan yang cukup efisien secara teknis. SignSpace (signspace[.]cloud) bukan infrastruktur custom yang tidak di buat sendiri oleh aktor, Tetapi dibangun langsung di atas Artifact Signing API milik Microsoft, menggunakan Azure subscription sebagai backend compute, serta database terstruktur untuk manajemen pengguna dan file. Flow operasional arsitektur yang dijalankan: Customer upload malicious binary - SignSpace admin panel / user page - Artifact Signing API (via Azure subscription Fox Tempest) - Microsoft-issued certificate applied to binary - File dikembalikan ke customer, siap distribusi.
Fox Tempest tidak perlu memiliki certificate authority sendiri, tetapi cukup memanfaatkan infrastruktur signing yang sudah dipercaya oleh ekosistem Windows. Hasilnya: binary dengan chain of trust yang berasal langsung dari Microsoft-issued certificate.
Business Model: MSaaS sebagai Komoditas
Fox Tempest mematok harga $5.000–$9.000 per signing cycle, Bukan harga per file ini adalah rate untuk akses layanan yang memungkinkan customer mengupload malware mereka sendiri dan mendapatkan versi yang sudah ditandatangani kembali.
Implikasinya cukup signifikan: Fox Tempest memisahkan dua kompetensi yang biasanya harus dimiliki oleh satu threat actor sekaligus kemampuan memperoleh signing certificate yang valid, dan kemampuan menulis atau mendistribusikan malware. Dengan model ini, kelompok yang hanya memiliki malware tanpa infrastruktur signing dapat membeli komponen yang mereka butuhkan. Vanilla Tempest adalah contoh konkret dari customer model ini.
Exploit Chain: Dari Signing ke Endpoint Compromise
Cara Vanilla Tempest memanfaatkan layanan Fox Tempest menggambarkan exploit chain yang cukup lengkap:
Stage 1 - Distribution via Malvertising
Vanilla Tempest membeli iklan di search engine. Pengguna yang mencari "Microsoft Teams download" berpotensi menemukan iklan yang mengarahkan mereka ke halaman download palsu. Ini tidak seperti phishing email yang mudah difilter ini adalah paid search placement yang muncul di hasil pencarian organik, bercampur dengan hasil yang asli.
Stage 2 - Signed Binary sebagai Trust Signal
Binary yang diunduh adalah versi Teams palsu yang sudah ditandatangani melalui Fox Tempest. Ketika Windows SmartScreen memeriksa file ini, yang terlihat adalah certificate valid, chain of trust intact, dan tidak ada reputasi negatif karena binary tersebut baru. SmartScreen tidak memblokir. Pengguna mendapatkan prompt yang tampak "aman".
Stage 3 - Oyster sebagai Loader
Di dalam binary tersebut terdapat Oyster, yang juga dikenal sebagai Broomstick atau CleanUpLoader. Oysteer adalah modular implant fungsi utamanya bukan payload final, melainkan sebagai loader yang membangun persistence, melakukan reconnaissance minimal, lalu menarik payload tahap berikutnya.
Arsitektur modularnya relevan di sini karena ia memisahkan binary yang diinspeksi saat analisis awal loader yang relatif bersih dari payload destruktif yang hanya diunduh setelah eksekusi. Ini mempersulit static analysis secara signifikan.
Stage 4 - Rhysida Ransomware
Oyster men-deploy Rhysida ransomware. Rhysida sudah memiliki track record yang panjang: sekolah, rumah sakit, dan Seattle-Tacoma International Airport termasuk dalam daftar korbannya. Dampaknya tidak berhenti di enkripsi data operasional infrastruktur kritis dapat ikut terganggu.
Tentang Disrupsi OpFauxSign
Microsoft menyita domain signspace[.]cloud, mematikan ratusan VM yang menjalankan operasi, memblokir akses ke repository kode underlying, dan mengajukan kasus hukum di pengadilan AS. Koordinasi melibatkan Resecurity, FBI, dan Europol EC3.
Yang perlu dicatat dari sudut pandang operasional: tindakan ini mematikan infrastruktur Fox Tempest, tetapi tidak secara otomatis mencabut sertifikat yang sudah dikeluarkan dan sudah tertanam di binary yang beredar. Binary yang sudah signed dan sudah terdistribusi tetap memiliki signature yang valid kecuali sertifikatnya di-revoke secara eksplisit dan revocation tersebut di-enforce oleh endpoint.
Ini merupakan bagian dari masalah yang lebih luas dalam PKI-based trust: revocation checking melalui CRL atau OCSP sering tidak di-enforce secara ketat di banyak endpoint karena alasan availability. Artinya, binary yang sudah beredar masih dapat terlihat "signed valid" di sistem yang tidak melakukan revocation check secara konsisten.
Fox Tempest tidak mencari kerentanan teknis baru. Mereka cukup memahami bagaimana trust dibangun dan di mana trust tersebut dapat dibeli. Layanan mereka efektif justru karena tidak ada bypass sama sekali mereka menggunakan pipeline yang memang dirancang bekerja persis seperti itu, hanya dengan identitas yang salah di ujungnya. Itulah yang membuatnya sulit dideteksi dari dalam sistem signing itu sendiri. Dan itulah yang menjadikan model bisnis ini viable bagi ekosistem cybercriminal yang lebih luas selama berbulan-bulan sebelum akhirnya dihentikan.
Baca Juga Tentang: Microsoft Exchange GhostLock TCLBANKER RMM ABuse
Benediktus Sava – Security Researcher
Sumber: Microsoft Exposing tempest Distruping Fox Tempest US National Distrik Court
