**Microsoft** ha desmantelado una importante operación de Malware-Signing-as-a-Service (MSaaS) que abusaba de su propio servicio **Azure Artifact Signing**. La operación, dirigida por actores de amenazas rastreados como **Fox Tempest**, generaba certificados de firma de código fraudulentos utilizados por grupos de ransomware y otros ciberdelincuentes. ### Abuso de Azure Artifact Signing **Azure Artifact Signing** (anteriormente Trusted Signing) es un servicio basado en la nube lanzado por **Microsoft** en 2024, diseñado para permitir a los desarrolladores firmar fácilmente sus programas. Sin embargo, **Fox Tempest** explotó este servicio para crear certificados de corta duración, permitiendo que el malware fuera firmado digitalmente y confiado como software legítimo tanto por usuarios como por sistemas operativos. **Microsoft** informa que el actor de amenazas con motivaciones económicas creó más de 1.000 certificados y cientos de inquilinos y suscripciones de **Azure** como parte de la operación. También desclasificó un caso legal en el Tribunal de Distrito de EE. UU. para el Distrito Sur de Nueva York dirigido a la operación de cibercrimen. "**Fox Tempest** ha creado más de mil certificados y ha establecido cientos de inquilinos y suscripciones de **Azure** para respaldar sus operaciones. **Microsoft** ha revocado más de mil certificados de firma de código atribuidos a **Fox Tempest**", declaró **Microsoft**. ### Interrupción de la Operación MSaaS En mayo de 2026, la Unidad de Delitos Digitales (DCU) de **Microsoft**, con el apoyo de socios de la industria, interrumpió la oferta MSaaS de **Fox Tempest**, apuntando a la infraestructura y al modelo de acceso que permite su uso criminal más amplio. **Microsoft** incautó el dominio signspace[.]cloud utilizado por el servicio, desconectó cientos de máquinas virtuales vinculadas a la operación y bloqueó el acceso a la infraestructura que alojaba la plataforma de cibercrimen. El sitio ahora redirige a los visitantes a un sitio operado por **Microsoft** que explica la incautación del dominio como parte de una demanda contra el esquema de malware-signing-as-a-service. ### Conexiones con Malware y Ransomware La operación se vinculó a numerosas campañas de malware y ransomware que involucraban a Oyster, Lumma Stealer, Vidar, así como a las operaciones de ransomware Rhysida, Akira, INC, Qilin y BlackByte. Actores de amenazas, incluidos Vanilla Tempest (miembros de INC Ransomware), Storm-0501, Storm-2561 y Storm-0249, utilizaron el malware firmado en sus ataques. **Microsoft** también nombró a la operación de ransomware Vanilla Tempest como coconspiradora en la acción legal, declarando que el grupo utilizó el servicio para distribuir malware y ransomware en ataques dirigidos a organizaciones de todo el mundo. El MSaaS se operaba a través de signspace[.]cloud y permitía a los clientes ciberdelincuentes subir archivos maliciosos para la firma de código utilizando certificados obtenidos fraudulentamente.  Estos archivos de malware firmados fueron utilizados por actores de amenazas para suplantar software legítimo como **Microsoft Teams**, AnyDesk, PuTTY y Webex, añadiendo legitimidad a las descargas. "Cuando las víctimas desprevenidas ejecutaban los archivos instaladores de **Microsoft Teams** con nombre falso, esos archivos entregaban un cargador malicioso, que a su vez instalaba el malware Oyster firmado fraudulentamente y finalmente desplegaba el ransomware Rhysida", se lee en la denuncia de **Microsoft**. "Debido a que el malware Oyster fue firmado por un certificado del servicio **Artifact Signing** de **Microsoft**, el sistema operativo Windows reconoció inicialmente el malware como software legítimo, cuando de otro modo sería marcado como sospechoso o bloqueado por completo por los controles de seguridad en el sistema operativo Windows". ### Robo de Identidad y Certificados de Corta Duración **Microsoft** cree que los operadores probablemente utilizaron identidades robadas de Estados Unidos y Canadá para pasar los requisitos de verificación de identidad de Artifact Signing y obtener las credenciales de firma. Al obtener certificados, los actores de amenazas informaron haber utilizado solo certificados de corta duración válidos por 72 horas para reducir el riesgo de detección. ### Abuso Previo de Trusted Signing BleepingComputer informó previamente en marzo de 2025 sobre actores de amenazas que abusaban del servicio Trusted Signing de **Microsoft** para firmar malware utilizado en una campaña de robo de criptomonedas Crazy Evil Traffers y una campaña de Lumma Stealer. Si bien esos malwares también fueron firmados con certificados de 3 días, no está claro si fueron firmados por la plataforma de cibercrimen **Fox Tempest**. ### Evolución de las Operaciones de Fox Tempest **Microsoft** también detalló cómo **Fox Tempest** evolucionó su operación a principios de este año al proporcionar a los clientes máquinas virtuales preconfiguradas alojadas a través de la infraestructura de Cloudzy. Los clientes subían malware a los entornos de VM y recibían binarios firmados utilizando certificados controlados por **Fox Tempest**. La plataforma de firma de malware se promocionó en un canal de Telegram llamado "EV Certs for Sale by SamCodeSign", con precios que oscilaban entre $5,000 y $9,000 en bitcoin por acceso a la plataforma. **Microsoft** dice que la operación generó millones de dólares en ganancias y que es un grupo bien financiado capaz de gestionar infraestructura, relaciones con clientes y transacciones financieras. [](https://hubs.li/Q048zztN0) ## [The Validation Gap: Automated Pentesting Answers One Question. You Need Six.](https://hubs.li/Q048zztN0) Las herramientas automatizadas de pentesting ofrecen un valor real, pero fueron creadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron creadas para probar si sus controles bloquean amenazas, si sus reglas de detección se activan o si sus configuraciones en la nube se mantienen. Esta guía cubre las 6 superficies que realmente necesita validar. [Descargar ahora](https://hubs.li/Q048zztN0)