黑客正滥用一项名为FUD Crypt的服务，生成完全不被检测、带有微软签名的恶意软件。该恶意软件即服务（MaaS）平台可将普通载荷转化为多态、已签名的加载器，极难被安全工具或分析师发现。服务承诺提供签名、AMSI绕过、UAC绕过、持久化和自动C2连接功能，用户无需编写任何代码。攻击者滥用Azure可信签名服务，获取链接至“Microsoft Identity Verification Root CA”和“Microsoft ID Verified CS AOC CA 01”的Authenticode签名，使恶意软件看似由微软基础设施合法签名。 FUD Crypt托管于fudcrypt.net，是一个商业平台，订阅者每月支付800至2000美元即可上传任何Windows可执行文件并收到一个多阶段部署包。生成的恶意软件会立即与mstelemetrycloud.com的舰队管理服务器建立持久的WebSocket连接，代理二进制文件名为mstelemetry.exe，注册表Run键设置为“WindowsUpdateSvc”，刻意模仿微软遥测和更新组件。在38天的观察期内，研究人员发现了32个注册代理，其中24个拥有管理员权限，并记录了2093条已发出的命令。 该服务采用多层加密方案确保每个生成的包在密码学上唯一，并内置了堆叠的规避工具包，通过DLL侧加载到ProtonVPN、CCleaner、Zoom等流行应用甚至重命名的Windows Defender包装器（WindowsDF.exe）中运行。其下一代构建器newbuilder.py v6.0正在开发中，专注于通过间接系统调用、模块踩踏、基于光纤和回调的执行、Ekko风格睡眠混淆等技术攻击EDR本身。安全团队应将任何通过Azure可信签名、具有异常证书链和可疑行为（尤其是搭配WindowsUpdateSvc或mstelemetry命名）的二进制文件视为FUD Crypt式操作的高风险指标。