Na última semana, foi detectada uma campanha de reconhecimento coordenada que colocou no ponto de vista a infra-estruturas Citrix NetScaler (também conhecido como Citrix ADC). De acordo com a análise publicada por GreyNoise, as digitalizaçãos foram realizadas entre 28 de janeiro e 2 de fevereiro e usaram uma maré de endereços IP para localizar painéis de autenticação expostos e coletar informações sobre versões do produto, o que aponta para um trabalho de mapeamento prévio a uma possível exploração.
Os números de GreyNoise são chamados: Mais de 63.000 endereços IP diferentes iniciaram 111.834 sessões de sondagem, e aproximadamente 79% do tráfego observado atacou cogumelos (honeypots) da Citrix Gateway. Desse volume, cerca de 64% procedia de proxies residenciais, endereços que parecem corresponder a consumidores de operadores ISP e que, por sua aparência, eluden facilmente filtros baseados em reputação. O restante 36% da atividade veio de um único IP hospedado no Microsoft Azure.
Os padrões do ataque não se parecem a um barrido aleatório. Em primeiro lugar, a grande maioria das sessões centrou-se em identificar interfaces de acesso remoto mediante pedidos dirigidos a /logon/LogonPoint/index.html, a localização típica do painel de autenticação da Citrix. Esse comportamento massivo e repetido sugere um interesse específico por localizar portais expostos em grande escala. Em paralelo, em 1 de fevereiro foi observado um "sprint" intenso de aproximadamente seis horas em que uma dezena de IPs lançou quase 1.900 sessões buscando o instalador de Endpoint Analysis em /epa/scripts/win/nsepa_ setup.exe, o que indica uma tentativa de identificar rapidamente quais versões da Citrix estão presentes e se contêm artefatos que delatem sua versão.
Outro indício relevante é a marca do agente de usuário: GreyNoise observou cadeias que imitavam o navegador Chrome 50, uma versão antiga lançada em 2016. Esse tipo de pegadas de navegador obsoletas e a utilização maciça de proxies residenciais são técnicas habituais para dificultar a detecção e evitar controles que bloqueiam endereços IP com má reputação.
Por que preocupa este tipo de reconhecimento? Porque quando um atacante mapea com precisão uma plataforma e suas versões, você pode preparar exploits específicos contra vulnerabilidades conhecidas. No caso da Citrix, nos últimos meses, surgiram falhas de gravidade crítica que foram exploradas no passado; por isso, a detecção de sondagem orientada para identificar versões e rotas de EPA desperta alarmes sobre a possibilidade de um ataque dirigido estar se preparando. Para acompanhar o relatório original e os seus indicadores técnicos, GreyNoise publicou a sua análise completa aqui: labs.greynoise.io — GreyNoise report.
As recomendações decorrentes deste tipo de achados são práticas e vão desde a prevenção até a detecção precoce. Dentre as medidas que aconselham os pesquisadores estão monitorar pedidos que utilizem agentes de usuário suspeitos (por exemplo, cadeias relacionadas com “blackbox-exporter”) quando provem de origens não autorizadas, gerar alertas ante acessos externos a /epa/scripts/win/nsepa_ setup.exe, e detectar padrões de enumeração rápida contra rotas de início de sessão como /logon/LogonPoint/. Também recomendam monitorar pedidos HEAD para endpoints da Citrix Gateway e prestar atenção a vestígios de navegador obsoletos que não rendam com o perfil esperado dos usuários legítimos.
No plano da configuração e do endurecimento, os conselhos práticos incluem rever se realmente necessário expor passarelas Citrix diretamente à Internet, restringir o acesso ao diretório /epa/scripts/ Apenas para redes geridas, suprimir ou reduzir a informação de versão que os servidores devolvem nas respostas de HTTP e monitorizarem a atividade incomum de ISPs residenciais localizados em regiões onde a organização não tem usuários. GreyNoise também facilitou os endereços IP detectados para que as equipes de segurança possam verificar contra seus próprios registros.
Se você gerencia passarelas Citrix ou gerencia ambientes que dependem da Citrix ADC, é recomendável consultar regularmente as comunicações de segurança do próprio fabricante e as listas de vulnerabilidades conhecidas. A Citrix mantém uma página dedicada a avisos e atualizações de segurança onde se publicam adesivos e mitigações oficiais: support.citrix.com — Citrix Security. Além disso, os organismos que rastreiam vulnerabilidades exploradas no campo, como a Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. Os EUA fornecem catálogos e avisos que ajudam a priorizar sistemas críticos: CISA — Known Exploited Vulnerabilities Catalog.
Que aprendizagem deixa esta campanha? A lição é dupla: por um lado, os atacantes continuam a aperfeiçoar suas técnicas para evitar se bloquear com simples filtros de reputação; por outro, a enumeração maciça e ordenada de rotas e artefatos concretos revela intenções que vão além do mero inquérito casual. Para as equipes de segurança isso significa aumentar a telemetria sobre acessos a portas de ligação, afinar regras de correlação que detectem rajadas de pedidos semelhantes e proteger expondo o mínimo indispensável ao exterior.
Em suma, não se trata apenas de reagir quando aparece uma exploração pública, mas sim de detectar e conter os mapeamentos prévios que frequentemente antecedem esses ataques. Manter sistemas adesivos, limitar a exposição de serviços críticos e dispor de alertas que reconheçam padrões de reconhecimento são medidas simples, mas eficazes para elevar o custo de ataques futuros e reduzir a probabilidade de ser o seguinte objetivo.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...