- Microsoft interrumpió la Operación Fox Tempest que abusaba de Azure Artifact Signing para emitir certificados de firma de código fraudulentos
- El grupo creó más de 1000 certificados y cientos de inquilinos de Azure, lo que permitió que las campañas de malware eludieran los controles de seguridad.
- Se emprendieron acciones legales contra Fox Tempest y Vanilla Tempest, cuyos servicios apoyaron la distribución de importantes malware y ransomware.
Microsoft cerró un servicio malicioso que ofrecía a los piratas informáticos certificados firmados digitalmente y emprendió procedimientos judiciales contra los autores de la operación.
En su informe, la compañía dijo que un actor de amenazas conocido como Fox Tempest utilizó Azure Artifact Signing para crear certificados temporales. Estos certificados permiten que el malware se firme como software legítimo, evitando la protección antivirus y comprometiendo los dispositivos de las víctimas.
Para acceder al servicio, los delincuentes supuestamente utilizaron una variedad de identidades robadas a personas en Estados Unidos y Canadá. Para reducir la posibilidad de verse infectados, crearon certificados que solo eran válidos durante 72 horas; sin embargo, durante su trabajo, los atacantes crearon más de 1000 certificados, así como cientos de inquilinos y suscripciones de Azure.
Clientes de alto perfil
“Fox Tempest generó más de 1.000 certificados y estableció cientos de inquilinos y suscripciones de Azure para respaldar sus operaciones. Microsoft revocó más de 1.000 certificados de firma de código atribuidos a Fox Tempest”, dijo Microsoft en el informe.
“En mayo de 2026, la Unidad de Delitos Digitales (DCU) de Microsoft, con la ayuda de socios de la industria, interrumpió la oferta MSaaS de Fox Tempest, apuntando a la infraestructura y el modelo de acceso que permitieron su uso criminal generalizado”.
Como parte del esfuerzo de eliminación, Microsoft se apoderó del dominio signspace(punto)com, así como de cientos de máquinas virtuales. También bloquea el acceso a toda la infraestructura de alojamiento de servicios.
Computadora pitando Fox señala algunas de las mayores campañas de malware y ransomware que utilizan los servicios de Tempest, incluidas Lumastiller, Vidar, Killeen, Blackbite y Akira. Vanilla Tempest fue nombrada co-conspiradora en la acción legal, agregó, ya que supuestamente distribuyó tanto malware como ransomware.
Algunas aplicaciones falsas distribuidas de esta manera incluyen Teams, AnyDesk y Webex.
“Cuando las víctimas desprevenidas ejecutaron los archivos de instalación de Microsoft Teams con nombres falsos, esos archivos entregaron un cargador malicioso, que instaló el malware Oyster firmado de manera fraudulenta y, en última instancia, el ransomware Raisida”, explicó Microsoft.
“Debido a que el malware Oyster estaba firmado por un certificado del Artifact Signing Service de Microsoft, el sistema operativo Windows inicialmente reconoció el malware como software legítimo, cuando de otro modo sería marcado como sospechoso o bloqueado completamente por los controles de seguridad en el sistema operativo Windows”.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
