Aktivitas pemindaian berbahaya yang menargetkan portal login GlobalProtect milik Palo Alto Networks melonjak tajam, memicu kekhawatiran adanya kampanye siber terkoordinasi. Menurut laporan intelijen real-time dari GreyNoise, lonjakan aktivitas ini meningkat 40 kali lipat hanya dalam 24 jam, menjadikannya yang tertinggi dalam 90 hari terakhir.
GreyNoise mengungkapkan bahwa aktivitas mencurigakan mulai naik pada 14 November dan terus meningkat selama seminggu. Portal GlobalProtect, yang digunakan sebagai titik autentikasi VPN pada firewall Palo Alto Networks, kini menjadi sasaran jutaan percobaan akses otomatis.
Pada pertengahan Oktober, GreyNoise juga melaporkan kenaikan 500 persen dalam jumlah alamat IP yang melakukan pemindaian terhadap profil GlobalProtect dan PAN-OS, dengan mayoritas diklasifikasikan sebagai “mencurigakan” atau “malicious.” Lonjakan serupa juga tercatat pada April 2025, ketika lebih dari 24.000 IP terlibat dalam kampanye besar yang mengincar portal login GlobalProtect.
GreyNoise menilai dengan tingkat keyakinan tinggi bahwa aktivitas terbaru ini terkait dengan kampanye sebelumnya, berdasarkan kemiripan fingerprint TCP/JA4t, penggunaan ASN yang sama, serta pola waktu yang berulang. ASN yang paling dominan adalah AS200373 (3xK Tech GmbH), dengan 62 persen IP berasal dari Jerman dan 15 persen dari Kanada. ASN kedua adalah AS208885 milik Noyobzoda Faridduni Saidilhom.
Dalam periode 14–19 November, GreyNoise mencatat 2,3 juta sesi yang menargetkan endpoint /global-protect/login.esp, yang merupakan halaman autentikasi GlobalProtect. Serangan terutama diarahkan ke Amerika Serikat, Meksiko, dan Pakistan dengan volume yang hampir setara.
GreyNoise menekankan bahwa pemindaian ini tidak boleh diabaikan sebagai upaya eksploitasi gagal. Berdasarkan data historis, lonjakan semacam ini biasanya muncul sebelum pengungkapan kerentanan baru—bahkan 80 persen kasus menunjukkan korelasi tersebut, terutama untuk produk Palo Alto Networks.
Tahun ini sendiri, Palo Alto Networks menghadapi dua kasus eksploitasi aktif pada Februari yang memanfaatkan CVE-2025-0108, yang kemudian dikombinasikan dengan CVE-2025-0111 dan CVE-2024-9474. Pada September lalu, perusahaan juga mengalami insiden pelanggaran data yang dikaitkan dengan kampanye Scattered Lapsus$ Hunters.
Menanggapi laporan GreyNoise, Palo Alto Networks menyatakan bahwa mereka telah menyelidiki aktivitas pemindaian tersebut dan tidak menemukan bukti kompromi. Perusahaan menambahkan bahwa platform Cortex XSIAM yang mereka gunakan mampu mendeteksi serta menghentikan 1,5 juta serangan baru setiap hari dan menyaring puluhan miliar event keamanan secara otomatis.
Meningkatnya aktivitas pemindaian ini kembali menegaskan pentingnya memonitor akses ke portal VPN perusahaan, menerapkan pembatasan sumber IP, serta memastikan seluruh konfigurasi dan pembaruan keamanan diterapkan secara konsisten.