ROADtools se utiliza indebidamente en ataques a la nube para robar tokens y eludir los controles MFA

Los atacantes, que alguna vez utilizaron esta herramienta como un recurso legítimo para ejercicios de red teaming, ahora la están empleando activamente para robar tokens de autenticación, registrar dispositivos no autorizados y eludir los controles de autenticación multifactor (MFA) en entornos de Microsoft Azure. ROADtools es un conjunto de herramientas basado en Python diseñado para interactuar con Microsoft Entra ID, anteriormente conocido como Azure Active Directory.

El conjunto de herramientas llamó la atención a finales de 2021, cuando Cloaked Ursa, también identificado como Midnight Blizzard o APT29, fue detectado utilizándolo después de obtener acceso mediante phishing. En 2023, el grupo iraní Curious Serpens, también conocido como Peach Sandstorm o APT33, utilizó ROADtools tras campañas de password spraying. Una campaña de phishing de 2025 atribuida al actor afiliado al estado UTA0355 empleó herramientas que coincidían estrechamente con las capacidades de gestión de tokens de ROADtools.

ROADtools utilizado indebidamente en ataques a la nube

La capacidad más peligrosa del conjunto de herramientas reside en su módulo roadtx, que gestiona la adquisición e intercambio de tokens. El resultado es un conjunto de tokens de acceso y actualización OAuth 2.0 que pueden utilizarse para acceder silenciosamente a los servicios en la nube de Microsoft.

La publicación “ROADtools utilizado indebidamente en ataques a la nube para robar tokens y eludir los controles MFA” apareció por primera vez en Cyber Security News.

Consultar publicación original ↗