Uma nova campanha coordenada de reconhecimento contra infraestruturas Citrix NetScaler está chamando a atenção da comunidade de segurança. De acordo com um alerta recente da GreyNoise, a atividade maliciosa começou em 28 de janeiro e rapidamente escalou, utilizando dezenas de milhares de endereços IP para mapear dispositivos expostos na internet. O comportamento sugere preparação para ataques mais direcionados, o que eleva o nível de urgência para administradores e equipes de defesa cibernética.
O que torna essa operação particularmente preocupante não é apenas o volume, mas a estratégia adotada para evitar detecção. Ao mascarar as varreduras por meio de conexões aparentemente legítimas, os operadores conseguem contornar filtros tradicionais e ampliar o alcance do reconhecimento.
A tática dos proxies residenciais
Segundo a GreyNoise, os atacantes empregaram cerca de 63 mil IPs provenientes de ISPs domésticos para executar a varredura contra sistemas Citrix NetScaler. Essa técnica, baseada em proxies residenciais, dificulta a diferenciação entre tráfego malicioso e usuários reais.
Diferentemente de servidores em data centers, frequentemente associados a atividades automatizadas, os IPs residenciais carregam maior reputação. Isso faz com que bloqueios automáticos baseados em listas de ameaça sejam menos eficazes, permitindo que os invasores coletem informações críticas sem levantar alertas imediatos.
Outro fator relevante é a distribuição geográfica desses IPs. Com conexões espalhadas por múltiplos países e provedores, o tráfego se dilui no fluxo global da internet, tornando análises baseadas em padrões muito mais complexas.
Para especialistas, esse movimento indica uma profissionalização crescente das campanhas de reconhecimento, que hoje funcionam como verdadeiras operações de inteligência pré-ataque.
O que os atacantes estão procurando
A análise do tráfego revela que os operadores não estavam apenas testando conectividade. O foco era identificar pontos de entrada e coletar dados suficientes para futuras explorações em dispositivos Citrix NetScaler vulneráveis.
Identificação de painéis de login
Um dos principais objetivos foi localizar portais de autenticação expostos. Painéis de login representam alvos valiosos porque podem permitir ataques de força bruta, password spraying ou exploração de falhas de autenticação.
Além disso, interfaces acessíveis publicamente costumam fornecer pistas sobre a arquitetura do ambiente, incluindo mensagens de erro, certificados e padrões de resposta HTTP.
Enumeração de versões via scripts EPA
Outro comportamento observado envolve a tentativa de acessar o diretório /epa/scripts/, utilizado pelo mecanismo Endpoint Analysis (EPA). Esses scripts podem revelar detalhes sobre a versão do sistema e componentes ativos.
A enumeração de versões é um passo clássico no ciclo de ataque: ao identificar exatamente qual release está em execução, os criminosos podem cruzar as informações com bancos de vulnerabilidades conhecidas e selecionar exploits com maior taxa de sucesso.
Vulnerabilidades exploradas e riscos
Entre os riscos associados à campanha estão falhas críticas que já figuram no radar de equipes de segurança. Uma delas é o chamado CitrixBleed 2, frequentemente associado à CVE-2025-5775, que pode permitir exposição de sessões, roubo de tokens e potencial sequestro de contas.
Quando combinadas com credenciais válidas ou sessões ainda ativas, essas vulnerabilidades podem abrir caminho para movimentação lateral dentro da rede corporativa.
O perigo aumenta em ambientes onde o Citrix NetScaler atua como gateway de acesso remoto. Nesse cenário, comprometer o dispositivo equivale a ganhar uma posição privilegiada na infraestrutura.
Outro ponto crítico é o intervalo entre reconhecimento e exploração. Historicamente, campanhas desse tipo costumam evoluir rapidamente, transformando dados coletados em ataques reais em questão de dias.
Como proteger sua infraestrutura
Diante do aumento da atividade maliciosa envolvendo Citrix NetScaler, a GreyNoise recomenda uma postura defensiva imediata e baseada em visibilidade.
Entre as principais medidas estão:
- Monitorar requisições suspeitas com User-Agent associado ao Chrome 50, padrão identificado na campanha.
- Restringir ou bloquear o acesso externo ao diretório /epa/scripts/ sempre que possível.
- Garantir que todos os appliances estejam atualizados com os patches mais recentes.
- Implementar autenticação multifator para reduzir o impacto de credenciais comprometidas.
- Revisar logs em busca de padrões de varredura distribuída.
- Aplicar regras de firewall e controle de acesso mais restritivas para interfaces administrativas.
Além disso, equipes de segurança devem considerar o uso de inteligência de ameaças para enriquecer a detecção e automatizar respostas.
Conclusão/impacto
A campanha identificada pela GreyNoise reforça uma realidade cada vez mais clara: o reconhecimento continua sendo uma das fases mais importantes dos ataques modernos. Organizações que utilizam Citrix NetScaler devem tratar esse tipo de atividade como um sinal antecipado de risco, não apenas como ruído de internet.
Monitoramento contínuo, aplicação rápida de patches e revisão das superfícies expostas são medidas essenciais para reduzir a probabilidade de comprometimento.
Em um cenário onde invasores adotam técnicas mais sofisticadas para se esconder, a defesa precisa ser igualmente estratégica. Detectar cedo pode ser a diferença entre bloquear uma tentativa de intrusão e lidar com um incidente de grande escala.
