Luca Galuppi : 31 octubre 2025 15:24
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas de escalamiento en entornos de Microsoft Azure y Entra ID .
Hoy en día, sin embargo, es cada vez más utilizado por grupos criminales y actores patrocinados por estados para fines muy diferentes: mapear infraestructuras en la nube, identificar roles privilegiados y planificar ataques dirigidos.
Escrito en Go y disponible para Windows, Linux y macOS, AzureHound consulta las API de Microsoft Graph y Azure REST para recopilar información sobre identidades, roles, aplicaciones y recursos en su inquilino.
Su funcionamiento, diseñado con fines legítimos, también resulta útil para quienes desean dirigirse a:
En otras palabras, AzureHound permite automatizar la fase de reconocimiento que, en el pasado, requería tiempo y habilidades manuales, transformando el reconocimiento en la nube en un proceso rápido y preciso.
Durante 2025, varios grupos de ciberdelincuentes adoptaron AzureHound con fines ofensivos.
Según el análisis de inteligencia de amenazas, Curious Serpens (también conocido como Peach Sandstorm ), Void Blizzard y el grupo Storm-0501 emplearon la herramienta para enumerar entornos de Entra ID, detectar configuraciones erróneas y planificar escalamientos de privilegios.
Esto demuestra cómo las herramientas diseñadas para la seguridad pueden convertirse en una parte integral de las campañas de intrusión, especialmente cuando los entornos en la nube no se supervisan adecuadamente.
Tras obtener acceso inicial a un inquilino de Azure mediante credenciales comprometidas, phishing o cuentas de servicio vulnerables, los ciberdelincuentes ejecutan AzureHound para:
Esta visibilidad le permite planificar con precisión los siguientes pasos: desde la escalada hasta el movimiento lateral, pasando por la exfiltración de datos o el despliegue de ransomware.
Las organizaciones que utilizan Azure y Microsoft Entra ID deben implementar controles específicos para detectar y bloquear comportamientos anómalos relacionados con el uso indebido de herramientas como AzureHound.
Supervise las API en busca de patrones de enumeración inusuales en las API de gráficos y REST.
Cree alertas sobre consultas o solicitudes masivas con agentes de usuario sospechosos.
Restringir los permisos de las aplicaciones y de las entidades de servicio, adoptando el principio de mínimo privilegio.
Aplique la autenticación multifactor (MFA) y controles estrictos a las cuentas sincronizadas con privilegios elevados.
Integre reglas de búsqueda en los SIEM (como Microsoft Sentinel o Defender XDR) para detectar comportamientos que puedan estar relacionados con la recopilación automática de datos.
AzureHound es un ejemplo concreto de cómo las herramientas diseñadas para mejorar la seguridad pueden convertirse en un arma en las manos equivocadas.
Comprender cómo se abusa de estas herramientas es fundamental para desarrollar estrategias de defensa eficaces, aumentar la visibilidad en los entornos de la nube y reducir el tiempo de respuesta en caso de una vulneración.
Solo conociendo las mismas técnicas utilizadas por los atacantes es posible anticiparse a ellas y mantener el control de su infraestructura digital.
AzureHound, que forma parte de la suite BloodHound , nació como una herramienta de código abierto para ayudar a los equipos de seguridad y a los equipos rojos a identificar vulnerabilidades y rutas ...
La puntualidad es clave en ciberseguridad. Red Hot Cyber lanzó recientemente un servicio completamente gratuito que permite a los profesionales de TI, analistas de seguridad y entusiastas monitorear ...
Jen-Hsun Huang soltó una bomba: Nvidia habría invertido mil millones de dólares en Nokia. Sí, Nokia es la compañía que popularizó los teléfonos Symbian hace 20 años. En su discurso, Jensen Hu...
El equipo de programación ruso responsable del malware Medusa ha sido arrestado por funcionarios del Ministerio del Interior ruso, con el apoyo de la policía de la región de Astracán. Según los i...
Tras años de tensiones, aranceles, acusaciones mutuas y guerras comerciales que han destrozado el equilibrio de poder mundial, finalmente se ha producido la tan esperada reunión entre Donald Trump y...
