La empresa de ciberseguridad **Microsoft** anunció esta semana que desmanteló con éxito **Fox Tempest**, un servicio sofisticado que proporcionaba a los ciberdelincuentes capacidades de firma de código para legitimar malware. Esta operación, detallada en una reciente presentación ante el Tribunal de Distrito de EE. UU., interrumpe un eslabón crítico en la cadena de suministro del cibercrimen. ### Fox Tempest: Firma de Malware como Servicio **Fox Tempest** operó como un servicio de Firma de Malware como Servicio (MSaaS) desde mayo de 2025, ofreciendo a los ciberdelincuentes la capacidad de firmar su código malicioso con certificados fraudulentos. Esto permitía que el malware evadiera los controles de seguridad, haciéndose pasar por software legítimo. Según **Steven Masada**, abogado general adjunto de la Unidad de Delitos Digitales de **Microsoft**, el servicio permitió a los ciberdelincuentes distribuir malware y ransomware, infectando miles de máquinas y comprometiendo redes en todo el mundo. "El software malicioso que debería haber sido bloqueado o marcado por antivirus y otras salvaguardas tenía más probabilidades de ser abierto, ejecutado o de pasar los controles de seguridad, permitiendo esencialmente que el malware se escondiera a plena vista", afirmó. ### Armamento de la Firma de Código Legítimo **Fox Tempest** abusó de la Firma de Artefactos de **Microsoft**, diseñada para verificar la legitimidad del software. Al crear certificados de firma de código fraudulentos de corta duración, la plataforma permitía que el malware se pareciera a aplicaciones legítimas como **AnyDesk**, **Teams**, **Putty** y **Webex**, evadiendo las medidas de seguridad y aumentando la probabilidad de una ejecución exitosa. Se informa que afiliados de ransomware asociados con grupos como **Rhysida**, **INC**, **Qilin** y **Akira** utilizaron **Fox Tempest** para legitimar su malware. Cargaban su código malicioso en la plataforma, obtenían certificados firmados y luego distribuían el malware a través de sitios web falsos diseñados para imitar plataformas de descarga de software legítimas. ### La Respuesta de Microsoft **Microsoft** incautó el sitio web de **Fox Tempest**, desconectó cientos de máquinas virtuales y bloqueó el acceso al código subyacente. También revocaron más de 1.000 certificados de firma de código atribuidos a **Fox Tempest**. "Cuando los atacantes pueden hacer que el software malicioso parezca legítimo, socava la forma en que las personas y los sistemas deciden qué es seguro. Interrumpir esa capacidad es clave para aumentar el costo del cibercrimen", explicó **Masada**. ### El Modelo de Negocio MSaaS **Microsoft** destacó que **Fox Tempest** operaba como una organización bien financiada con departamentos encargados de la infraestructura, las relaciones con los clientes y las transacciones financieras. La plataforma creó más de mil certificados y estableció cientos de inquilinos y suscripciones de **Azure** para respaldar sus operaciones. El análisis de pagos de criptomonedas reveló que **Fox Tempest** recibió millones de dólares de afiliados de ransomware. El servicio se utilizó en ataques dirigidos a organizaciones en EE. UU., China, Francia e India. Este modelo MSaaS significa un cambio en el ecosistema de ciberdelincuentes, donde se ofrecen servicios avanzados a gran escala. A diferencia de los proveedores de infraestructura de menor costo, **Fox Tempest** demuestra que los actores sofisticados están dispuestos a invertir fuertemente en capacidades que mejoran las tasas de éxito de los ataques y reducen las probabilidades de detección. <html> <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>  </html>