Microsoft ha dado un nuevo paso en su ofensiva contra el cibercrimen organizado con una acción legal dirigida contra Fox Tempest, un servicio criminal especializado en hacer pasar malware por software legítimo. La compañía ha llevado el caso ante un tribunal federal de Nueva York y ha anunciado la incautación de parte de la infraestructura utilizada por este grupo, que desde mayo de 2025 habría facilitado ataques con ransomware y otras campañas maliciosas a escala global.
El caso es especialmente relevante porque no se centra únicamente en quienes ejecutan los ataques, sino en uno de los eslabones menos visibles de la cadena: los proveedores de servicios que permiten que el malware llegue a las víctimas con mayores probabilidades de éxito.
Malware firmado: cuando lo “seguro” deja de serlo
La clave de Fox Tempest estaba en abusar de herramientas de firma de código, sistemas diseñados para confirmar que un programa procede de una fuente legítima y no ha sido manipulado. En teoría, estas firmas ayudan a usuarios, empresas y soluciones de seguridad a decidir si un archivo es confiable. En la práctica, cuando los ciberdelincuentes consiguen manipular ese mecanismo, el resultado es especialmente peligroso: el malware puede aparentar ser una aplicación segura.
Según Microsoft, Fox Tempest ofrecía un modelo de malware-signing-as-a-service, es decir, un servicio de firma de malware bajo demanda. Los clientes subían archivos maliciosos a una plataforma online y recibían de vuelta versiones firmadas con certificados controlados por la infraestructura criminal. De esta forma, programas diseñados para robar información, abrir puertas traseras o desplegar ransomware podían superar filtros de seguridad con más facilidad.
El engaño no terminaba ahí. Una vez firmado, el malware se distribuía mediante técnicas como la manipulación de resultados de búsqueda, anuncios maliciosos o páginas falsas de descarga. Microsoft menciona, por ejemplo, falsas páginas de Microsoft Teams utilizadas como mecanismo de distribución. Para una víctima, el archivo podía parecer una descarga legítima. Para los atacantes, era una vía directa para colarse en el sistema.
Ransomware, robo de datos y ataques a organizaciones críticas
La investigación de Microsoft vincula a Fox Tempest con varios actores del ecosistema ransomware. Entre ellos aparece Vanilla Tempest, señalado como coconspirador y relacionado con el despliegue de malware como Oyster, Lumma Stealer y Vidar, además de ransomware como Rhysida. Este último ha sido utilizado en ataques de alto impacto, con robo y filtración de datos como parte de estrategias de doble extorsión.
El alcance potencial de este tipo de servicios es amplio. Microsoft apunta que los actores asociados han atacado escuelas, hospitales y otras organizaciones críticas en distintos países. Además, la compañía relaciona Fox Tempest con afiliados y familias de ransomware como INC, Qilin y Akira.
Este punto es importante para entender la evolución del cibercrimen. Ya no hablamos únicamente de grupos cerrados que desarrollan, distribuyen y monetizan sus propias herramientas. El modelo actual se parece más a un mercado modular: unos actores venden accesos iniciales, otros ofrecen infraestructura, otros proporcionan malware y otros, como Fox Tempest, eliminan barreras técnicas para que los ataques sean más creíbles y difíciles de detectar.
Un negocio millonario basado en vender confianza falsa
Microsoft sostiene que los operadores de Fox Tempest utilizaron identidades falsas y suplantaron a organizaciones legítimas para crear cientos de cuentas fraudulentas y obtener credenciales reales de firma de código. El servicio no era barato: los ciberdelincuentes pagaban miles de dólares por acceder a esta capacidad, una cifra que refleja el valor que tiene para los atacantes reducir el riesgo de que sus campañas sean bloqueadas.
Microsoft también advierte de que estas campañas se están combinando con tácticas impulsadas por inteligencia artificial. La IA permite generar anuncios, páginas falsas y mensajes más convincentes, escalar campañas y adaptarlas a distintos públicos. Cuando esa capacidad se une a malware firmado, el resultado es una amenaza más difícil de identificar tanto para usuarios como para equipos de seguridad.
La compañía afirma haber incautado el dominio signspace[.]cloud, desconectado cientos de máquinas virtuales utilizadas por la operación y bloqueado el acceso a un sitio que alojaba código subyacente. Además, Microsoft ha revocado certificados obtenidos fraudulentamente, eliminado cuentas falsas y reforzado sus mecanismos de verificación.
