19 мая 2026 года Microsoft объявила о нейтрализации инфраструктуры группы Fox Tempest, которая с мая 2025 года продавала услуги подписи вредоносного кода (Malware-Signing-as-a-Service) через платформу signspace[.]cloud. Злоумышленники злоупотребляли сервисом Microsoft Artifact Signing для выпуска короткоживущих (72 часа) кодовых сертификатов, позволяя малвари маскироваться под легитимный софт — например, установщики AnyDesk, Teams или PuTTY. Всего отозвано более 1 000 сертификатов, затронуты сотни арен Azure.

Схема работала как «сервис для преступников»: за $5 000–$9 000 другие хак-группы (Vanilla Tempest, Rhysida, Storm-0501) получали подписанный код, обходящий антивирусы и SmartScreen. Для ИТ-индустрии это сигнал: атаки смещаются с прямого взлома на злоупотребление доверенными инфраструктурами. Защита теперь требует мониторинга не только кода, но и цепочек выдачи сертификатов в реальном времени.