Nas últimas semanas, uma campanha coordenada de reconhecimento focada na infraestrutura Citrix NetScaler utilizou dezenas de milhares de proxies residenciais para localizar painéis de login expostos.
Esse comportamento foi identificado entre 28 de janeiro e 2 de fevereiro.
A atividade também tentou enumerar versões do produto, revelando um esforço sistemático de mapeamento.
A plataforma de monitoramento GreyNoise rastreou mais de 63 mil IPs distintos responsáveis por 111.834 sessões de varredura.
Cerca de 79% desse tráfego tinha como alvo honeypots do Citrix Gateway, usados para detecção.
A maior parte do tráfego — aproximadamente 64% — originou-se de proxies residenciais com IPs distribuídos globalmente, simulando endereços legítimos de provedores de internet domésticos e burlando filtros baseados em reputação.
Os 36% restantes vieram de um único IP da plataforma Azure.
Segundo a GreyNoise, os padrões indicam um mapeamento pré-exploração da infraestrutura, não se tratando de uma varredura aleatória pela internet.
O interesse específico no caminho do arquivo EPA (Endpoint Analysis) sugere uma possível busca por exploits relacionados a versões específicas ou a verificação de vulnerabilidades conhecidas no Citrix ADC.
Dois indicadores evidenciam a intenção maliciosa.
O mais ativo disparou 109.942 sessões a partir de 63.189 IPs únicos, focando na interface de autenticação em ‘/logon/LogonPoint/index.html’ para identificar, em larga escala, painéis Citrix expostos.
O segundo ocorreu em 1º de fevereiro, durante seis horas, com 10 IPs enviando 1.892 sessões direcionadas ao caminho ‘/epa/scripts/win/nsepa_setup.exe’, buscando enumerar versões do Citrix por meio de artefatos EPA.
Outro ponto relevante é o uso de um user agent do Chrome 50, versão lançada em 2016, o que pode indicar tentativas de explorar vulnerabilidades específicas daquela versão.
A GreyNoise sugere que o rápido pico nessas varreduras aponta para uma ação intencional, possivelmente motivada pela descoberta de configurações EPA vulneráveis ou informações sobre janelas de implantação.
Os mais recentes bugs críticos que afetam produtos Citrix são as vulnerabilidades
CVE-2025-5777
(‘CitrixBleed 2’) e CVE-2025-5775, esta última explorada como zero-day para execução remota de código.
Para identificar e mitigar essa atividade, a GreyNoise recomenda:
• Monitorar a presença do user agent blackbox-exporter vindo de fontes não autorizadas;
• Gerar alertas para acessos externos ao arquivo /epa/scripts/win/nsepa_setup.exe;
• Detectar enumeração acelerada em caminhos /logon/LogonPoint/;
• Vigiar requisições HEAD contra endpoints do Citrix Gateway;
• Observar fingerprints de navegadores obsoletos, especialmente o Chrome 50.
Além disso, sugere-se que administradores reavaliem a necessidade de manter Citrix Gateways expostos à internet, limitem o acesso ao diretório /epa/scripts/, desativem a divulgação da versão nos cabeçalhos HTTP e monitorem acessos incomuns vindos de ISPs residenciais em regiões inesperadas.
A GreyNoise também disponibilizou os endereços IP envolvidos na campanha para facilitar bloqueios e análises defensivas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...