### Servicio Malicioso de Fox Tempest **Microsoft** anunció la interrupción de **Fox Tempest**, un actor de amenazas que proporcionaba un esquema de servicio de firma de malware como servicio (MSaaS) activo desde mayo de 2025. Este esquema permitía a los ciberdelincuentes disfrazar malware como software legítimo utilizando certificados de firma de código obtenidos fraudulentamente. "Para interrumpir el servicio, incautamos el sitio web de **Fox Tempest** signspace[.]cloud, desconectamos cientos de las máquinas virtuales que ejecutaban la operación y bloqueamos el acceso a un sitio que alojaba el código subyacente", dijo Steven Masada, asesor general adjunto de la Unidad de Delitos Digitales de **Microsoft**. ### Despliegue de Ransomware y Malware La operación facilitó el despliegue del ransomware **Rhysida** por parte de actores de amenazas como **Vanilla Tempest**, junto con otras familias de malware, incluidas **Oyster**, **Lumma Stealer** y **Vidar**. Esto resalta el papel significativo de **Fox Tempest** en el ecosistema del cibercrimen. Se han establecido conexiones entre el actor de amenazas y afiliados vinculados a cepas de ransomware prominentes como **INC**, **Qilin**, **BlackByte** y **Akira**. Estos ataques se han dirigido a los sectores de la salud, la educación, el gobierno y los servicios financieros en EE. UU., Francia, India y China. ### Abuso de la Firma de Artefactos **Artifact Signing** (anteriormente Azure Trusted Signing), la solución de firma administrada de **Microsoft**, fue abusada por **Fox Tempest** para generar certificados de firma de código fraudulentos y de corta duración. Estos certificados, válidos solo por 72 horas, les permitieron entregar malware firmado y confiable, eludiendo los controles de seguridad. "Para obtener certificados firmados legítimos a través de **Artifact Signing**, el solicitante debe pasar por procesos detallados de validación de identidad de acuerdo con las credenciales verificables (VC) estándar de la industria, lo que sugiere que el actor de amenazas muy probablemente utilizó identidades robadas con sede en los Estados Unidos y Canadá para hacerse pasar por una entidad legítima y obtener las credenciales digitales necesarias para firmar", explicó **Microsoft**. El sitio web SignSpace, construido sobre **Artifact Signing**, permitió la firma segura de archivos a través de un panel de administración y una página de usuario, aprovechando las suscripciones de Azure, los certificados y una base de datos estructurada para administrar usuarios y archivos. ### Detalles y Costos de la Operación El servicio permitió a los clientes ciberdelincuentes cargar archivos maliciosos para la firma de código utilizando certificados obtenidos fraudulentamente por **Fox Tempest**. Esto permitió que el malware y el ransomware se hicieran pasar por software legítimo como AnyDesk, **Microsoft Teams**, PuTTY y **Cisco Webex**. El servicio tenía un precio de entre $5,000 y $9,000. ### Evolución de la Infraestructura Desde febrero de 2026, **Fox Tempest** pasó a proporcionar a los clientes máquinas virtuales (VM) preconfiguradas alojadas en **Cloudzy**, agilizando la entrega de binarios firmados. Esta evolución redujo la fricción para los clientes y mejoró la seguridad operativa para **Fox Tempest**. ### Tácticas y Contramedidas Actores de amenazas como **Vanilla Tempest** distribuyeron binarios firmados a través del servicio mediante anuncios comprados legítimamente, redirigiendo a los usuarios que buscaban **Microsoft Teams** a páginas de descarga falsas. Esto allanó el camino para el despliegue de **Oyster** (también conocido como Broomstick o CleanUpLoader), que entrega el ransomware **Rhysida**. **Microsoft** ha contrarrestado activamente las tácticas de **Fox Tempest** deshabilitando cuentas fraudulentas y revocando certificados obtenidos ilícitamente. Documentos judiciales revelan que **Microsoft** trabajó con una "fuente cooperativa" para comprar y probar el servicio entre febrero y marzo de 2026. "Cuando los atacantes pueden hacer que el software malicioso parezca legítimo, socava cómo las personas y los sistemas deciden qué es seguro", dijo **Microsoft**. "Interrumpir esa capacidad es clave para aumentar el costo del cibercrimen."