Microsoft reveló el jueves que revocó más de 200 certificados utilizados por un actor de amenazas al que rastrea como Vanilla Tempest para firmar de guisa fraudulenta archivos binarios maliciosos en ataques de ransomware.
Los certificados se «utilizaron en archivos de configuración falsos de Teams para entregar la puerta trasera Oyster y, en última instancia, implementar el ransomware Rhysida», dijo el equipo de Microsoft Threat Intelligence en una publicación compartida en X.
El cíclope tecnológico dijo que interrumpió la actividad a principios de este mes luego de que fuera detectada a fines de septiembre de 2025. Adicionalmente de revocar los certificados, sus soluciones de seguridad se actualizaron para marcar las firmas asociadas con los archivos de configuración falsos, la puerta trasera Oyster y el ransomware Rhysida.
Vanilla Tempest (anteriormente Storm-0832) es el nombre que se le da a un actor de amenazas con motivación financiera, incluso llamado Vice Society y Vice Spider, que se estima que está activo desde al menos julio de 2022 y que ha entregado varias cepas de ransomware como BlackCat, Quantum Locker, Zeppelin y Rhysida a lo dilatado de los primaveras.
Oyster (incluso conocido como Broomstick y CleanUpLoader), por otro costado, es una puerta trasera que a menudo se distribuye a través de instaladores troyanizados para software popular como Google Chrome y Microsoft Teams utilizando sitios web falsos con los que los usuarios se topan cuando buscan programas en Google y Bing.
«En esta campaña, Vanilla Tempest utilizó archivos MSTeamsSetup.exe falsos alojados en dominios maliciosos que imitan a Microsoft Teams, por ejemplo, Teams-download(.)buzz, Teams-install(.)run o Teams-download(.)top», dijo Microsoft. «Es probable que los usuarios sean dirigidos a sitios de descarga maliciosos mediante envenenamiento por optimización de motores de búsqueda (SEO)».
Para firmar estos instaladores y otras herramientas posteriores al compromiso, se dice que el actor de amenazas utilizó Trusted Signing, así como los servicios de firma de código SSL(.)com, DigiCert y GlobalSign.
Los detalles de la campaña fueron revelados por primera vez por Blackpoint Cyber el mes pasado, destacando cómo los usuarios que buscaban Teams en cuerda eran redirigidos a páginas de descarga falsas, donde se les ofrecía un MSTeamsSetup.exe sagaz en circunscripción del cliente legal.
«Esta actividad pone de relieve el continuo extralimitación del envenenamiento de SEO y anuncios maliciosos para ofrecer puertas traseras de productos bajo la apariencia de software confiable», dijo la compañía. «Los actores de amenazas están explotando la confianza de los usuarios en los resultados de búsqueda y en las marcas conocidas para obtener comunicación auténtico».
Para mitigar estos riesgos, se recomienda descargar software sólo de fuentes verificadas y evitar hacer clic en enlaces sospechosos que aparecen a través de anuncios en motores de búsqueda.
