A comienzos de octubre de 2025, Microsoft desarticuló una campaña de Vanilla Tempest al revocar más de 200 certificados que el actor de amenazas había falsificado y utilizado para firmar archivos de instalación de Microsoft Teams falsos. Estos instaladores se empleaban para distribuir el backdoor Oyster, que finalmente permitía el despliegue del ransomware Rhysida.

Detección y respuesta ante la campaña

Microsoft identificó esta campaña de Vanilla Tempest a finales de septiembre de 2025, tras varios meses en los que el grupo había usado binarios fraudulentamente firmados en distintos ataques.
Además de revocar los certificados, Microsoft Defender Antivirus ahora detecta los archivos falsos de instalación de Teams, el backdoor Oyster y el ransomware Rhysida.
Por su parte, Microsoft Defender for Endpoint permite detectar las tácticas, técnicas y procedimientos (TTPs) asociados a Vanilla Tempest.

¿Quién es Vanilla Tempest?

Vanilla Tempest, también conocido por otros proveedores de seguridad como VICE SPIDER o Vice Society, es un actor de amenazas con motivación financiera. Su objetivo principal es implantar ransomware y exfiltrar datos confidenciales para extorsionar a las víctimas.
A lo largo de su actividad, este grupo ha utilizado distintas cargas útiles, como BlackCat, Quantum Locker y Zeppelin, aunque en los últimos meses se ha centrado principalmente en Rhysida.

Campaña reciente: instaladores falsos de Teams

Durante esta campaña, Vanilla Tempest utilizó ejecutables falsos llamados MSTeamsSetup.exe, alojados en dominios maliciosos que imitaban los sitios legítimos de Microsoft Teams, tales como:

teams-download[.]buzz
teams-install[.]run
teams-download[.]top

Los usuarios eran redirigidos a estos sitios mediante técnicas de SEO poisoning, una táctica que manipula los resultados de búsqueda para posicionar contenido malicioso entre los primeros resultados.

Al ejecutar los falsos instaladores de Microsoft Teams, se descargaba un loader que posteriormente desplegaba el backdoor Oyster con firma digital fraudulenta.
Se ha documentado que Vanilla Tempest comenzó a usar Oyster en sus ataques desde junio de 2025, pasando a firmar fraudulentamente los ejecutables a partir de septiembre del mismo año.

Certificados y servicios abusados

Para firmar tanto los instaladores falsos como las herramientas utilizadas tras comprometer los sistemas, Vanilla Tempest empleó servicios de firma de código de proveedores legítimos como Trusted Signing, SSL[.]com, DigiCert y GlobalSign.

Protección y mitigación de la amenaza

Las implementaciones completas de Microsoft Defender Antivirus bloquean esta amenaza efectivamente.
Además, Microsoft Defender for Endpoint proporciona orientación adicional sobre cómo mitigar, investigar y responder ante ataques similares.

Microsoft señala que, aunque estas protecciones ayudan a proteger a sus clientes, comparte esta información con la comunidad de ciberseguridad para fortalecer defensas y aumentar la resiliencia global frente a actores de amenazas cada vez más sofisticados.

In early October 2025, Microsoft disrupted a Vanilla Tempest campaign by revoking over 200 certificates that the threat actor had fraudulently signed and used in fake Teams setup files to deliver the Oyster backdoor and ultimately deploy Rhysida ransomware.

We identified this… pic.twitter.com/FeTitSrTbi

— Microsoft Threat Intelligence (@MsftSecIntel) October 15, 2025