Microsoft dijo el martes que interrumpió una operación de firma de malware como servicio (MSaaS) que utilizó como arma el sistema Artifact Signing de la compañía para entregar código malicioso y realizar ransomware y otros ataques, comprometiendo miles de máquinas y redes en todo el mundo.
El gigante tecnológico atribuyó la actividad a un actor de amenazas al que llama Tempestad de zorrosque según dijo ofrecía el esquema MSaaS para permitir a los ciberdelincuentes disfrazar malware como software legítimo. El actor de amenazas ha estado activo desde mayo de 2025. El esfuerzo de incautación lleva el nombre en código OpFauxSign.
«Para interrumpir el servicio, nos apoderamos de la nube signspace(.) del sitio web de Fox Tempest, desconectamos cientos de máquinas virtuales que ejecutaban la operación y bloqueamos el acceso a un sitio que aloja el código subyacente», dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de Microsoft.
Microsoft señaló que la operación permitió la implementación del ransomware Rhysida por parte de actores de amenazas como Vanilla Tempest, junto con otras familias de malware como Oyster, Lumma Stealer y Vidar, lo que ilustra el papel crucial desempeñado por Fox Tempest dentro del ecosistema del cibercrimen.
Además, se han descubierto conexiones entre el actor de amenazas y los afiliados asociados con varias cepas de ransomware destacadas, incluidas INC, Qilin, BlackByte y Akira. Los ataques organizados por estas operaciones se han dirigido a servicios de salud, educación, gobierno y financieros ubicados en Estados Unidos, Francia, India y China.
Artifact Signing (anteriormente Azure Trusted Signing) es la solución de firma de extremo a extremo totalmente administrada de Microsoft que permite a los desarrolladores crear y distribuir aplicaciones fácilmente, al tiempo que garantiza que el software sea legítimo y no haya sido modificado por partes no autorizadas.
Se dice que Fox Tempest aprovechó este mecanismo para generar certificados de firma de código fraudulentos de corta duración y utilizarlos para entregar malware firmado y confiable y eludir los controles de seguridad. Los certificados tenían una validez de sólo 72 horas.
«Para obtener certificados firmados legítimos a través de Artifact Signing, el solicitante debe pasar procesos detallados de validación de identidad de acuerdo con las credenciales verificables (VC) estándar de la industria, lo que sugiere que el actor de amenazas muy probablemente utilizó identidades robadas con base en los Estados Unidos y Canadá para hacerse pasar por una entidad legítima y obtener las credenciales digitales necesarias para la firma», explicó Microsoft.
«El sitio web de SignSpace se creó sobre la firma de artefactos y permitió la firma segura de archivos a través de un panel de administración y una página de usuario, aprovechando las suscripciones de Azure, los certificados y una base de datos estructurada para administrar usuarios y archivos».
El servicio permitía a los clientes cibercriminales pagar subir archivos maliciosos para firmar códigos utilizando certificados obtenidos de manera fraudulenta por Fox Tempest. Esto, a su vez, permitió que el malware y el ransomware se hicieran pasar por software legítimo como AnyDesk, Microsoft Teams, PuTTY y Cisco Webex. El servicio cuesta entre $5.000 y $9.000.
A partir de febrero de 2026, se dice que el actor de amenazas pasó a proporcionar a los clientes máquinas virtuales (VM) preconfiguradas alojadas en Cloudzy, lo que permite cargar directamente los artefactos necesarios a la infraestructura controlada por el atacante y recibir archivos binarios firmados a cambio.
«Esta evolución de la infraestructura redujo la fricción para los clientes, mejoró la seguridad operativa de Fox Tempest y simplificó aún más la entrega de malware firmado, malicioso pero confiable a escala», dijo Microsoft.
Se ha descubierto que los actores de amenazas como Vanilla Tempest distribuyen archivos binarios firmados a través del servicio a través de anuncios comprados legítimamente que redirigen a los usuarios que buscan Microsoft Teams a páginas de descarga falsas, allanando el camino para la implementación de Oyster (también conocido como Broomstick o CleanUpLoader), un implante y cargador modular responsable de entregar el ransomware Rhysida.
Microsoft dijo que Fox Tempest ha adaptado continuamente su oficio a medida que la compañía implementó contramedidas, como deshabilitar cuentas fraudulentas y revocar los certificados obtenidos ilícitamente, y el actor de amenazas incluso intentó cambiar a un servicio de firma de código diferente. Los documentos judiciales revelan que Microsoft trabajó con una «fuente cooperativa» para comprar y probar el servicio entre febrero y marzo de 2026.
«Cuando los atacantes pueden hacer que el software malicioso parezca legítimo, socava la forma en que las personas y los sistemas deciden qué es seguro», dijo Redmond. «Interrumpir esa capacidad es clave para aumentar el costo del cibercrimen».