Microsoft anunció el martes que había interrumpido una operación de firma de malware como servicio (MSaaS) que utilizaba su sistema de firma de artefactos como arma para distribuir código malicioso, llevar a cabo ransomware y otros ataques, y comprometer miles de máquinas y redes en todo el mundo.
El gigante tecnológico atribuyó la actividad a un actor de amenazas llamado Fox Tempest, que, según dijo, ofrecía un esquema MSaaS que permitía a los ciberdelincuentes disfrazar malware como software legítimo. Este actor de amenazas ha estado activo desde mayo de 2025. El nombre clave de esta actividad de incautación es OpFauxSign.
«Para interrumpir el servicio, tomamos el control de la nube signspace(.) del sitio web de Fox Tempest, desconectamos cientos de máquinas virtuales que ejecutaban la operación y bloqueamos el acceso al sitio que aloja el código subyacente», dijo Steven Masada, asesor general adjunto de la División de Delitos Digitales de Microsoft.
Microsoft señaló que esta operación permitió la implementación del ransomware Rhysida por parte de actores de amenazas como Vanilla Tempest, además de otras familias de malware como Oyster, Lumma Stealer y Vidar, lo que demuestra el importante papel que desempeña Fox Tempest dentro del ecosistema del cibercrimen.
Además, se descubrieron conexiones entre este actor y afiliados asociados con varias acciones destacadas de ransomware, incluidas INC, Qilin, BlackByte y Akira. Los ataques lanzados por estas operaciones tienen como objetivo los servicios de salud, educación, gobierno y financieros en Estados Unidos, Francia, India y China.
Artifact Signing (anteriormente conocido como Azure Trusted Signing) es la solución de firma de extremo a extremo totalmente administrada de Microsoft que permite a los desarrolladores crear y distribuir aplicaciones fácilmente, al tiempo que garantiza que el software sea genuino y no haya sido modificado por partes no autorizadas.
Se dice que Fox Tempest aprovechó este mecanismo para generar certificados de firma de código falsos con vencimientos cortos y usarlos para distribuir malware firmado confiable y eludir los controles de seguridad. El certificado tenía una validez de sólo 72 horas.
«Obtener un certificado firmado legítimo a través de la firma de artefactos requiere que el solicitante pase un proceso de verificación de identidad detallado que cumpla con el estándar de la industria Credenciales verificables (VC). Esto sugiere que los actores de amenazas probablemente usaron identidades robadas con base en los Estados Unidos y Canadá para hacerse pasar por entidades legítimas y obtener las credenciales digitales necesarias para la firma», explicó Microsoft.
«El sitio web de SignSpace se creó sobre la base de Artifact Signing, aprovechando las suscripciones, los certificados y una base de datos estructurada de Azure para la administración de usuarios y archivos, lo que permite la firma segura de archivos a través del panel de administración y la página de usuario».
El servicio permitía a los clientes de delitos cibernéticos pagar cargar archivos maliciosos para firmar códigos utilizando certificados que Fox Tempest había obtenido de manera fraudulenta. Esto permite que el malware y el ransomware se hagan pasar por software legítimo como AnyDesk, Microsoft Teams, PuTTY y Cisco Webex. Los costos del servicio oscilan entre $5,000 y $9,000.
A partir de febrero de 2026, se dice que los actores de amenazas han hecho la transición para proporcionar a los clientes máquinas virtuales (VM) preconfiguradas alojadas en Cloudzy, lo que les permite cargar los artefactos necesarios directamente a la infraestructura controlada por el atacante y recibir archivos binarios firmados a cambio.
«Esta evolución de la infraestructura reduce la fricción para nuestros clientes, mejora la seguridad operativa de Fox Tempest y agiliza aún más la entrega a escala de malware firmado malicioso pero confiable», dijo Microsoft.
Se descubrió que atacantes como Vanilla Tempest distribuían binarios firmados a través del servicio mediante anuncios comprados legítimamente, redirigiendo a los usuarios que buscaban Microsoft Teams a una página de descarga falsa, allanando el camino para la implementación de Oyster (también conocido como Broomstick o CleanUpLoader), un implante modular y cargador responsable de entregar el ransomware Rhysida.
Según Microsoft, Fox Tempest continúa modificando sus métodos mientras toma medidas como deshabilitar cuentas fraudulentas y revocar certificados obtenidos de manera fraudulenta, y los atacantes también están intentando migrar a otros servicios de firma de código. Los documentos judiciales revelan que Microsoft trabajó con «fuentes que cooperaron» para comprar y probar el servicio entre febrero y marzo de 2026.
«Si los atacantes pueden hacer que el software malicioso parezca legítimo, eso socava la forma en que las personas y los sistemas deciden qué es seguro», dijo Redmond. «Interferir con esa capacidad es clave para aumentar el costo del cibercrimen».
Source link
