Sebuah kampanye pengintaian terkoordinasi terdeteksi menargetkan infrastruktur Citrix NetScaler dalam sepekan terakhir, dengan memanfaatkan puluhan ribu proxy residensial untuk memetakan panel login dan versi sistem. Aktivitas ini dinilai sebagai tahap awal sebelum eksploitasi, bukan sekadar pemindaian internet acak.
Platform pemantauan ancaman GreyNoise mencatat bahwa aktivitas tersebut berlangsung antara 28 Januari hingga 2 Februari. Selama periode itu, lalu lintas pemindaian dilacak berasal dari lebih dari 63.000 alamat IP unik yang menjalankan lebih dari 111.000 sesi koneksi. Sekitar 79 persen lalu lintas tersebut secara khusus menargetkan honeypot Citrix Gateway.
Proxy Residensial untuk Hindari Deteksi
Sebagian besar trafik, sekitar 64 persen, berasal dari proxy residensial yang tersebar di berbagai negara. Alamat IP ini terlihat seperti koneksi konsumen biasa dari penyedia layanan internet rumahan, sehingga mampu melewati mekanisme penyaringan berbasis reputasi. Sisanya, sekitar 36 persen, berasal dari satu alamat IP Azure.
Menurut GreyNoise, pola ini menunjukkan upaya pemetaan infrastruktur secara sistematis. Penyerang tampak berusaha mengidentifikasi endpoint autentikasi Citrix Gateway yang terekspos serta mengumpulkan informasi versi produk untuk keperluan lanjutan.
Dua Pola Aktivitas Utama
Peneliti mengidentifikasi dua indikator utama aktivitas berbahaya. Indikator pertama merupakan yang paling masif, dengan hampir 110.000 sesi dari lebih dari 63.000 IP unik. Aktivitas ini menargetkan antarmuka autentikasi Citrix pada jalur /logon/LogonPoint/index.html untuk menemukan panel login yang dapat diakses dari internet dalam skala besar.
Indikator kedua terdeteksi pada 1 Februari dalam bentuk pemindaian singkat selama sekitar enam jam. Pada fase ini, sepuluh alamat IP menjalankan hampir 1.900 sesi yang terfokus pada jalur /epa/scripts/win/nsepa_setup.exe. Tujuannya adalah mengidentifikasi versi Citrix melalui artefak Endpoint Analysis (EPA).
GreyNoise menilai bahwa fokus pada berkas EPA setup mengindikasikan minat pada pengembangan eksploit spesifik versi atau validasi kerentanan yang telah diketahui pada Citrix ADC.
Indikasi Pra-Eksploitasi
Pemindaian ini menggunakan user agent Chrome 50, versi peramban yang dirilis pada awal 2016. Penggunaan sidik jari peramban usang tersebut menjadi salah satu ciri mencurigakan dalam aktivitas ini. Peneliti menilai bahwa kecepatan dan fokus pemindaian menunjukkan sebuah “sprint” terarah, kemungkinan dipicu oleh intelijen terbaru terkait konfigurasi EPA yang rentan atau waktu penyebaran tertentu.
Dalam konteks ini, perhatian tertuju pada dua celah kritis terbaru yang berdampak pada produk Citrix, yaitu CVE-2025-5777 yang dikenal sebagai CitrixBleed 2, serta CVE-2025-5775, sebuah kerentanan eksekusi kode jarak jauh yang sebelumnya telah dieksploitasi sebagai zero-day.
Rekomendasi Mitigasi dan Deteksi
GreyNoise menyarankan sejumlah langkah deteksi dan mitigasi untuk membantu organisasi menghadapi aktivitas semacam ini. Administrator sistem disarankan memantau permintaan dengan user agent mencurigakan dari sumber yang tidak sah, mendeteksi akses eksternal ke direktori EPA, serta mewaspadai upaya enumerasi cepat terhadap jalur login Citrix Gateway.
Selain itu, organisasi dianjurkan untuk meninjau kembali kebutuhan Citrix Gateway yang menghadap internet, membatasi akses ke direktori sensitif, menonaktifkan pengungkapan versi melalui respons HTTP, serta memantau koneksi tidak lazim yang berasal dari ISP residensial di wilayah yang tidak biasa.
Temuan ini menegaskan bahwa proxy residensial kini semakin sering digunakan dalam tahap awal serangan siber untuk menyamarkan aktivitas pengintaian. Dengan meningkatnya eksploitasi terhadap kerentanan Citrix dalam beberapa tahun terakhir, fase pemetaan seperti ini patut diwaspadai sebagai sinyal dini serangan lanjutan.