← Alertas
Otro Activa

Actores estado-nación usan ROADtools para infiltrarse en entornos Azure y Microsoft 365

Grupos como Midnight Blizzard y Void Blizzard están usando el framework open source ROADtools para comprometer entornos Azure y Entra ID. Organizaciones con Microsoft 365 deben revisar sus configuraciones de identidad.

2026-05-23 · Unit 42 — Palo Alto Networks

Contexto

Unit 42 documentó cómo actores de amenaza de nivel estado-nación — incluyendo Midnight Blizzard (Rusia) y Void Blizzard — están usando ROADtools, un framework open source de auditoría de Azure AD, como arma ofensiva. ROADtools permite enumerar usuarios, grupos, roles y permisos en Entra ID (antes Azure Active Directory), y los atacantes lo usan para mapear la infraestructura antes de moverse lateralmente. Su uso legítimo en herramientas de auditoría hace que sea difícil de detectar solo por nombre de proceso.

Impacto potencial

Organizaciones que usan Microsoft 365, Azure o Entra ID son el objetivo directo. Un atacante con credenciales válidas de un empleado puede usar ROADtools para entender toda la estructura de permisos de la organización antes de escalar privilegios o acceder a correo, SharePoint o Teams. El impacto real ocurre semanas o meses después del compromiso inicial.

Recomendaciones

Leer fuente original →