Microsoft el jueves divulgado que revocó más de 200 certificados utilizados por un actor de amenazas al que rastrea como Vanilla Tempest para firmar de forma fraudulenta archivos binarios maliciosos en ataques de ransomware.
Los certificados se «usaron en archivos de configuración falsos de Teams para entregar la puerta trasera de Oyster y, en última instancia, implementar el ransomware Rhysida», dijo el equipo de Inteligencia de Amenazas de Microsoft en una publicación compartida en X.
El gigante tecnológico dijo que interrumpió la actividad a principios de este mes tras ser detectada a finales de septiembre de 2025. Además de revocar los certificados, sus soluciones de seguridad se han actualizado para detectar las firmas asociadas a los archivos de configuración falsos, al backdoor Oyster y al ransomware Rhysida.
Vainilla Tempest (anteriormente Storm-0832) es el nombre que se le da a un actor de amenazas con motivaciones financieras, también llamado Vice Society y Vice Spider, que se estima que está activo desde al menos julio de 2022 y que ha lanzado varias cepas de ransomware, como BlackCat, Quantum Locker, Zeppelin y Rhysida, a lo largo de los años.
Oyster (también conocido como Broomstick y CleanUploader), por otro lado, es un puerta trasera que a menudo se distribuye a través de instaladores troyanos para software popular, como Google Chrome y Microsoft Teams, que utilizan sitios web falsos con los que los usuarios se topan cuando buscan los programas en Google y Bing.
«En esta campaña, Vanilla Tempest utilizó archivos MSTeamsSetup.exe falsos alojados en dominios maliciosos que imitaban a Microsoft Teams, por ejemplo, teams-download [.] buzz, teams-install [.] run o teams-download [.] top», afirma Microsoft. «Es probable que los usuarios se dirijan a sitios de descarga maliciosos mediante la optimización de motores de búsqueda (SEO)».
Para firmar estos instaladores y otras herramientas posteriores al compromiso, se dice que el actor de la amenaza utilizó Firma confiable , así como los servicios de firma de código SSL [.] com, DigiCert y GlobalSign.
Los detalles de la campaña fueron divulgado por primera vez de Blackpoint Cyber el mes pasado, destacando cómo los usuarios que buscaban Teams en línea eran redirigidos a páginas de descarga falsas, donde se les ofrecía un MSTeamsSetup.exe malintencionado en lugar del cliente legítimo.
«Esta actividad pone de relieve el continuo abuso del envenenamiento por SEO y la publicidad maliciosa para crear puertas traseras con el pretexto de un software confiable», dijo la empresa. «Los actores de amenazas explotan la confianza de los usuarios en los resultados de búsqueda y en las marcas conocidas para obtener el acceso inicial».
Para mitigar estos riesgos, se recomienda descargar el software únicamente de fuentes verificadas y evitar hacer clic en enlaces sospechosos que aparecen en los anuncios de los motores de búsqueda.