Citrix General

Una oleada de escaneos de Citrix NetScaler utiliza miles de servidores proxy residenciales

xavisan
by
27/02/2026

Una campaña de reconocimiento coordinada dirigida a la infraestructura de Citrix NetScaler durante la última semana utilizó decenas de miles de proxies residenciales para descubrir paneles de inicio de sesión.

Entre el 28 de enero y el 2 de febrero de 2026, la Red de Observación Global de GreyNoise rastreó una campaña de reconocimiento coordinada contra la infraestructura de Citrix ADC Gateway y Netscaler Gateway. La campaña se desarrolló en dos modalidades: una operación masiva de descubrimiento de paneles de inicio de sesión distribuidos mediante rotación de proxy residencial y un sprint concentrado de divulgación de versiones alojadas en AWS.

Las cifras lo demuestran: 111 834 sesiones, más de 63 000 direcciones IP de origen únicas y una tasa de detección del 79 % contra honeypots de Citrix Gateway. Esta última cifra es relevante: está muy por encima del ruido de escaneo de referencia, lo que indica un mapeo deliberado de la infraestructura en lugar de un rastreo oportunista.

Aproximadamente el 64 % del tráfico provino de proxies residenciales, con IP distribuidas por todo el mundo, que aparecían como direcciones ISP legítimas de consumidores y eludían el filtrado basado en reputación. El 36 % restante provenía de una única dirección IP de Azure.

La actividad indica claramente un mapeo de infraestructura previo a la explotación, en lugar de un escaneo aleatorio de Internet, afirma GreyNoise.

“El objetivo específico de la ruta del archivo de configuración EPA [Análisis de Puntos de Conexión] sugiere interés en el desarrollo de exploits específicos de la versión o la validación de vulnerabilidades contra debilidades conocidas de Citrix ADC”.

Ambas campañas se activaron por completo justo antes del 1 de febrero y se dirigieron casi exclusivamente a la infraestructura de Citrix. Tenían objetivos complementarios: encontrar paneles de inicio de sesión y enumerar versiones, lo que sugiere un reconocimiento coordinado.

Los dos indicadores de intenciones maliciosas son evidentes: el más activo generó 109 942 sesiones desde 63 189 IP únicas y apuntó a la interfaz de autenticación ‘/logon/LogonPoint/index.html’ para identificar paneles de inicio de sesión de Citrix expuestos a gran escala.

El segundo indicador, observado el 1 de febrero, fue un sprint de seis horas con 10 IP que iniciaron 1892 sesiones centradas en la URL ‘/epa/scripts/win/nsepa_setup.exe’ para enumerar las versiones de Citrix mediante artefactos de EPA.

GreyNoise señala que el atacante empleó un agente de usuario para Chrome 50, lanzado a principios de 2016. El ataque al archivo de configuración de EPA podría indicar un interés en el desarrollo de exploits específicos de la versión o la validación de vulnerabilidades contra debilidades conocidas de Citrix ADC.

“El rápido inicio y finalización del ataque sugieren un sprint de escaneo dirigido que podría haberse desencadenado por el descubrimiento de configuraciones vulnerables de EPA o información sobre las ventanas de implementación”, afirma GreyNoise.

Las fallas de gravedad crítica más recientes que afectan a los productos de Citrix son CVE-2025-5777, también conocida como “CitrixBleed 2”, y CVE-2025-5775, una vulnerabilidad de ejecución remota de código que se explotó como día cero.

GreyNoise enumera varias oportunidades de detección para esta última actividad, incluyendo:

  • Monitorización del agente de usuario del exportador de caja negra proveniente de fuentes no autorizadas
  • Alertas sobre acceso externo a /epa/scripts/win/nsepa_setup.exe
  • Marcación de la enumeración rápida de rutas /logon/LogonPoint/
  • Vigilancia de solicitudes HEAD contra endpoints de Citrix Gateway
  • Rastreo de huellas dactilares de navegadores obsoletos, específicamente Chrome 50 (circa 2016)
  • Además, los investigadores recomiendan que los administradores de sistemas revisen la necesidad de Citrix Gateways con conexión a internet, restrinjan el acceso al directorio /epa/scripts/, deshabiliten la divulgación de versiones en las respuestas HTTP y monitoreen el acceso anómalo desde ISP residenciales en regiones inesperadas.

GreyNoise también ha compartido las direcciones IP utilizadas para iniciar la actividad de escaneo.

xavisan

xavisan

Os voy a poner un poco la biografía que aparece cuando me buscas en Google o en cualquier otro lugar, que dice lo siguiente: Es el creador y administrador del popular portal comunitario español CTXDOM.COM, donde comparte conocimientos, ofrece ayuda técnica y participa activamente en foros sobre tecnologías Citrix desde hace muchos años, siendo una figura relevante en la comunidad hispanohablante de la virtualización. Experto en Citrix: Se especializa en las soluciones de virtualización de Citrix, desde versiones antiguas como Winframe hasta tecnologías más actuales. Creador de CTXDOM.COM: Fundó y lidera esta comunidad de referencia para profesionales de Citrix en español, ofreciendo un espacio gratuito para la discusión técnica y el intercambio de información. Figura activa: Participa en conferencias, escribe artículos y organiza eventos relacionados con Citrix, ganando reconocimiento, como premios de Citrix por su actividad en eventos como Citrix Synergy. Apoyo comunitario: Su objetivo es ayudar a otros profesionales a través de los foros de CTXDOM.COM, resolviendo dudas y compartiendo su experiencia. En resumen, xavisan es un referente y una voz influyente en la comunidad Citrix en español, reconocido por su dedicación a la divulgación y soporte técnico de esta tecnología a través de su portal CTXDOM.COM

Deja una respuesta

You may also like