AzureHound, parte della suite BloodHound, nasce come strumento open-source per aiutare i team di sicurezza e i red team a individuare vulnerabilità e percorsi di escalation negli ambienti Microsoft Azure ed Entra ID.
Oggi, però, è sempre più spesso utilizzato da gruppi criminali e attori sponsorizzati da stati per scopi ben diversi: mappare infrastrutture cloud, identificare ruoli privilegiati e pianificare attacchi mirati.
Perché AzureHound è diventato uno strumento pericoloso
Scritto in Go e disponibile per Windows, Linux e macOS, AzureHound interroga le API di Microsoft Graph e Azure REST per raccogliere informazioni su identità, ruoli, applicazioni e risorse presenti nel tenant.
Advertising
Il suo funzionamento, progettato per scopi legittimi, si rivela utile anche a chi vuole colpire:
Può essere eseguito da remoto, senza accedere direttamente alla rete vittima.
Produce output JSON compatibili con BloodHound, che li traduce in grafici di relazioni, privilegi e potenziali percorsi di attacco.
In altre parole, AzureHound consente di automatizzare quella fase di ricognizione che, in passato, richiedeva tempo e competenze manuali, trasformando il cloud reconnaissance in un processo rapido e preciso.
Execution of AzureHound to enumerate usersBloodHound illustration of available key vaults.
Dall’uso legittimo all’abuso
Nel corso del 2025 diversi gruppi di cybercriminali hanno adottato AzureHound per scopi offensivi. Secondo analisi di threat intelligence, Curious Serpens (noto anche come Peach Sandstorm), Void Blizzard e il gruppo Storm-0501 hanno impiegato lo strumento per enumerare ambienti Entra ID, individuare configurazioni errate e pianificare escalation di privilegi. Ciò dimostra come strumenti nati per la sicurezza possano diventare parte integrante delle campagne di compromissione, soprattutto quando gli ambienti cloud non sono monitorati in modo adeguato.
Come viene sfruttato
Dopo aver ottenuto un primo accesso a un tenant Azure tramite credenziali compromesse, phishing o account di servizio vulnerabili, gli operatori malevoli eseguono AzureHound per:
raccogliere informazioni su utenti, ruoli e relazioni;
individuare identità privilegiate o service principal con permessi eccessivi;
scoprire percorsi indiretti di escalation di privilegi;
costruire, tramite BloodHound, una rappresentazione grafica dell’intero ambiente.
Questa visibilità permette di pianificare con precisione i passi successivi: dall’escalation al movimento laterale, fino all’esfiltrazione dei dati o alla distribuzione di ransomware.
Advertising
Cosa fare per difendersi
Le organizzazioni che utilizzano Azure e Microsoft Entra ID dovrebbero implementare controlli mirati per individuare e bloccare comportamenti anomali legati all’uso improprio di strumenti come AzureHound.
Monitorare le API per individuare pattern di enumerazione insoliti verso Graph e REST API. Creare alert su query massicce o su richieste con user-agent sospetti. Limitare i permessi delle applicazioni e delle service principal, adottando il principio del privilegio minimo. Applicare MFA e controlli stringenti sugli account sincronizzati con privilegi elevati. Integrare regole di hunting nei SIEM (come Microsoft Sentinel o Defender XDR) per rilevare comportamenti riconducibili alla raccolta automatica di dati.
Conclusione
AzureHound rappresenta un esempio concreto di come strumenti nati per migliorare la sicurezza possano diventare un’arma nelle mani sbagliate. Capire come questi strumenti vengono abusati è fondamentale per costruire strategie di difesa efficaci, potenziare la visibilità sugli ambienti cloud e ridurre il tempo di reazione in caso di compromissione. Solo conoscendo le stesse tecniche impiegate da chi attacca è possibile anticiparle e mantenere il controllo delle proprie infrastrutture digitali.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.
Aree di competenza:Firewall, Networking, Network Design, Architetture IT, Servizi IT
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.