Firmado de malware: Microsoft desmantela el servicio de Fox Tempest

En el ecosistema moderno de la ciberseguridad, la confianza es el pilar fundamental que separa un ejecutable seguro de una catástrofe digital. Diariamente, tomamos decisiones sobre qué software instalar en cuestión de segundos, guiados por etiquetas simples como “verificado” o “editor de confianza”. Sin embargo, ¿qué sucede cuando los propios sistemas diseñados para validar la autenticidad y la integridad del software son manipulados desde adentro? El 19 de mayo de 2026, la Unidad de Delitos Digitales de Microsoft (DCU), en una acción conjunta con socios de la industria y agencias federales, asestó un golpe crítico a Fox Tempest, un actor de amenazas motivado financieramente que operaba una masiva red de firmado de malware como servicio (MSaaS, Malware-Signing-as-a-Service).

A través de una sofisticada campaña legal y técnica destapada ante la Corte de Distrito de los EE. UU. para el Distrito Sur de Nueva York, Microsoft logró confiscar el dominio operativo central signspace.cloud, desmantelar cientos de máquinas virtuales en Azure y revocar más de 1,000 certificados fraudulentos. Esta operación no solo representa una victoria táctica de gran relevancia para el sector tecnológico, sino que también expone cómo el cibercrimen ha evolucionado hacia un modelo modular altamente especializado, donde el firmado de malware y la evasión de defensas se venden al mejor postor en el mercado negro.

El sofisticado negocio del “firmado de malware” como servicio (MSaaS)

Para comprender la gravedad de esta amenaza, es necesario analizar el impacto del firmado de malware en las defensas corporativas modernas. Históricamente, las soluciones de detección y respuesta en los endpoints (EDR) y los mecanismos de seguridad nativos como SmartScreen en Windows bloquean automáticamente archivos sospechosos o que carecen de firmas digitales válidas. Para los operadores de ransomware y ladrones de información (infostealers), superar esta barrera de “reputación” solía requerir semanas de desarrollo complejo, ingeniería social o el robo directo de certificados corporativos privados.

Fox Tempest industrializó este cuello de botella. Al establecer un servicio dedicado exclusivamente al firmado de malware, crearon una infraestructura que permitía a otros atacantes saltarse los controles perimetrales de Windows de forma inmediata. El servicio garantizaba que ejecutables altamente maliciosos —diseñados para cifrar redes enteras o extraer credenciales bancarias— aparecieran ante el sistema operativo como herramientas de software legítimas y firmadas por una entidad de confianza. De esta forma, las firmas actuaban como “identificaciones falsas” de alta precisión que permitían a los atacantes caminar directamente a través de la puerta delantera de los entornos corporativos más protegidos del mundo.

La mecánica de explotación: El abuso de Microsoft Artifact Signing

El núcleo técnico del fraude perpetrado por Fox Tempest radica en la manipulación sistemática de Artifact Signing (anteriormente conocido como Azure Trusted Signing). Este servicio, lanzado formalmente por Microsoft en 2024 para simplificar el proceso de firma de código para desarrolladores legítimos, se integra directamente en los flujos de compilación de Azure y almacena claves privadas en módulos de seguridad de hardware (HSM) con certificación FIPS 140-2 Nivel 3. Sin embargo, los rigurosos procesos de validación de identidad que respaldan este servicio fueron evadidos metódicamente por el grupo cibercriminal.

Para abusar de este ecosistema de alta confianza, Fox Tempest ejecutó los siguientes pasos técnicos:

• Suplantación de identidad avanzada: El grupo utilizó identidades robadas pertenecientes a ciudadanos reales de Estados Unidos y Canadá para superar las fases de validación de identidad requeridas para registrar organizaciones en la plataforma de Microsoft.
• Creación masiva de inquilinos (Tenants): Con las identidades fraudulentas plenamente validadas, establecieron cientos de inquilinos de Azure y suscripciones activas asociadas.
• Generación de certificados de vida corta: A través de estas suscripciones, el grupo abusó de la plataforma para emitir certificados de firma de código con una validez de apenas 72 horas. Al ser de tan corta duración, estos certificados eludían los análisis retrospectivos y las listas de revocación tradicionales, dándole tiempo suficiente al malware para propagarse antes de que las alarmas de seguridad se encendieran.

Modelo de negocio y evolución de la infraestructura de Fox Tempest

Fox Tempest operaba con la profesionalidad y la estructura de cualquier proveedor legítimo de software como servicio (SaaS) bajo demanda. El grupo comercializaba sus capacidades de firmado a través del sitio web signspace.cloud, utilizando un portal dividido en dos estructuras funcionales claramente diferenciadas:

1. El panel de administración (Admin Portal): Donde los operadores de Fox Tempest gestionaban la creación automatizada de cuentas de Azure, la rotación de certificados robados y la orquestación de la infraestructura subyacente de bases de datos de usuarios. Un repositorio de GitHub llamado code‑signing‑service contenía los scripts de configuración que vinculaban este panel con el backend de Azure.
2. El portal del cliente (Customer Portal): Donde los ciberdelincuentes cargaban sus archivos maliciosos “en bruto” y, tras el procesamiento automático, descargaban el binario completamente firmado y listo para desplegar.

La adquisición del servicio se realizaba mediante un formulario bilingüe en inglés y ruso. Los planes de precios oscilaban entre $5,000 y $9,500 dólares por certificado, ofreciendo esquemas de prioridad en la cola de procesamiento para los clientes de los niveles de pago más altos.

A principios de 2026, el grupo demostró una capacidad de adaptación técnica notable. Para mitigar el riesgo de detección en la carga directa de archivos y reducir la fricción operativa de sus clientes, migraron su modelo operativo. Comenzaron a proporcionar a sus clientes máquinas virtuales (VM) preconfiguradas y alojadas en el proveedor estadounidense de servidores privados virtuales (VPS) Cloudzy. De esta manera, los compradores contaban con un entorno aislado donde podían compilar y firmar localmente sus payloads sin que los archivos maliciosos tocaran directamente la infraestructura central del grupo, descentralizando el riesgo y garantizando la persistencia del negocio.

Devastación en cadena: Los co-conspiradores y el ecosistema del ransomware

La red de distribución facilitada por Fox Tempest sirvió como el motor invisible detrás de algunas de las campañas de extorsión y exfiltración de datos más destructivas del último año. Durante las investigaciones, Microsoft Threat Intelligence identificó vínculos directos entre el servicio de firmado de Fox Tempest y múltiples afiliados de ransomware de alto perfil, tales como Akira, Qilin, INC y Rhysida.

En la demanda federal desprecintada, Microsoft nombró explícitamente a Vanilla Tempest (un grupo de ransomware altamente prolífico estrechamente asociado con la distribución de Rhysida) como un co-conspirador clave en la operación. La sinergia criminal entre ambos actores funcionaba bajo una cadena de ataque sumamente pulida:

• Distribución vía SEO Poisoning y Malvertising: Vanilla Tempest distribuía instaladores troyanizados de software empresarial omnipresente, incluyendo AnyDesk, Microsoft Teams, PuTTY y Webex, a través de anuncios pagados en motores de búsqueda (como Google Ads) y técnicas de envenenamiento de SEO.
• Evasión con firmas de confianza: Cuando los usuarios descargaban e intentaban instalar estos programas, los sistemas de seguridad locales no emitían alertas críticas debido a que los archivos contaban con certificados válidos gestionados mediante el servicio de Fox Tempest.
• Despliegue de payloads multifase: Una vez ejecutado el instalador falso, se liberaba una puerta trasera (backdoor) conocida como Oyster (también rastreada como un cargador inicial de acceso), junto con ladrones de credenciales avanzados como Lumma Stealer y Vidar.
• Cifrado y extorsión final: Con las credenciales obtenidas y el acceso inicial asegurado, Vanilla Tempest procedía a desplegar el ransomware Rhysida, paralizando las operaciones de las víctimas.

Esta cadena de suministro de malware impactó gravemente a sectores de infraestructura crítica a nivel mundial, incluyendo salud, educación, entidades gubernamentales y servicios financieros en países como Estados Unidos, Francia, India y China.

El contraataque: Cómo se ejecutó la disrupción de Fox Tempest

El desmantelamiento de Fox Tempest no fue una simple acción técnica de mitigación; requirió una estrategia híbrida que combinó inteligencia de amenazas de vanguardia, operaciones encubiertas en la dark web y el brazo legal de la justicia federal.

La Unidad de Delitos Digitales de Microsoft (DCU) comenzó a rastrear de cerca las operaciones de Fox Tempest en septiembre de 2025. Para penetrar la cerrada red de clientes de signspace.cloud, los investigadores de la DCU utilizaron personajes encubiertos (undercover personas) para interactuar directamente con los administradores del servicio, simulando ser cibercriminales interesados en adquirir los certificados. Esto les permitió mapear detalladamente los flujos de pago, ubicar las bases de datos y documentar la arquitectura técnica detrás del MSaaS.

Con la evidencia acumulada, Microsoft presentó un caso legal bajo sello ante la Corte de Distrito para el Distrito Sur de Nueva York. Una vez aprobada la orden de incautación por el juez, Microsoft ejecutó la disrupción técnica en mayo de 2026:

• Se tomó control del dominio principal de la operación, redirigiendo el tráfico de signspace.cloud hacia un portal informativo de Microsoft.
• Se eliminaron de inmediato cientos de cuentas y máquinas virtuales fraudulentas alojadas en Azure que daban soporte técnico y almacenamiento al MSaaS.
• Se revocaron de forma masiva más de 1,000 certificados de firma de código comprometidos que aún estaban activos en sistemas Windows en todo el mundo.
• Se bloqueó el acceso a un repositorio de GitHub que contenía el código fuente subyacente de la plataforma.

Actualmente, Microsoft colabora de forma estrecha con agencias de la ley internacionales, incluyendo el FBI y el Centro Europeo de Ciberdelincuencia de Europol (EC3), para identificar formalmente a los individuos detrás de los alias de Fox Tempest y llevarlos ante la justicia.

Recomendaciones de mitigación para entornos corporativos

A pesar del éxito de la operación de disrupción, los equipos de ciberseguridad corporativos deben asumir que existen binarios previamente firmados que podrían seguir circulando en campañas secundarias. Microsoft y los analistas de la industria recomiendan implementar las siguientes medidas defensivas de inmediato:

1. Habilitar la protección contra alteraciones (Tamper Protection): Asegurar que la protección contra manipulaciones esté activa en todo el inquilino para evitar que los atacantes intenten deshabilitar las defensas locales si logran acceso inicial.
2. Restringir la política de integridad de código: Configurar políticas estrictas de control de aplicaciones (como Windows Defender Application Control – WDAC) para permitir únicamente la ejecución de software firmado por editores explícitamente aprobados en la organización, evitando confiar ciegamente en cualquier certificado comercial válido.
3. Monitorear hashes de certificados conocidos: Bloquear activamente los hashes de certificados comprometidos e indicadores de compromiso (IoC) publicados por Microsoft Threat Intelligence asociados con la campaña de Fox Tempest.
4. Auditar la creación de inquilinos de Azure: Implementar políticas rígidas de validación de identidad y autenticación multifactor (MFA) para evitar que actores externos o identidades sintéticas creen suscripciones o inquilinos no autorizados dentro de los entornos de desarrollo de la empresa.

La caída de Fox Tempest demuestra que la frontera de la ciberseguridad ya no se limita a detectar el código malicioso en sí, sino a defender y auditar rigurosamente los mecanismos que otorgan confianza digital. Cuando la confianza se automatiza y se mercantiliza, la validación estricta de la identidad se convierte en la última línea de defensa.