Redazione RHC : 8 octubre 2025 14:42
A partir del 7 de octubre de 2025, se produjo una intensificación a gran escala de los ataques dirigidos contra los portales de acceso GlobalProtect de Palo Alto Networks, PAN-OS . Más de 2200 direcciones IP únicas fueron atacadas en las labores de reconocimiento.
Se ha detectado un aumento significativo con respecto a las 1300 direcciones IP detectadas inicialmente hace tan solo unos días . Según el monitoreo de GreyNoise Intelligence, esto representa la actividad de escaneo más intensa de los últimos 90 días.
El 3 de octubre de 2025, un aumento significativo del 500 % en la actividad de escaneo marcó el inicio de la campaña de reconocimiento. Ese día, se detectaron aproximadamente 1300 direcciones IP únicas explorando los portales de inicio de sesión de Palo Alto . En comparación con los tres meses anteriores, este aumento inicial de actividad representó el nivel más alto de escaneos registrado.
En los 90 días previos a este evento, los volúmenes de escaneo diario casi nunca habían alcanzado el umbral de 200 IP.
El análisis de GreyNoise reveló que una proporción preponderante de direcciones IP maliciosas, un 91%, se encuentra en Estados Unidos . También se encontraron otros núcleos de concentración de estas direcciones en el Reino Unido, los Países Bajos, Canadá y Rusia, respectivamente.
La sustancial inversión en infraestructura requerida para esta operación queda demostrada por el hecho de que los especialistas en seguridad identificaron aproximadamente el 12 % de las subredes ASN11878 dedicadas al escaneo de las puertas de acceso de Palo . Es probable que los actores de amenazas estén examinando sistemáticamente grandes bases de datos de credenciales , dados los patrones de autenticación fallidos que sugieren el uso de ataques de fuerza bruta automatizados contra los portales VPN SSL de GlobalProtect.
GreyNoise ha publicado un conjunto de datos completo que incluye nombres de usuario y contraseñas únicos de los intentos de inicio de sesión monitoreados en Palo, lo que permite a los equipos de seguridad estimar la posible exposición de las credenciales. El análisis técnico muestra que el 93 % de las direcciones IP afectadas se clasificaron como sospechosas, mientras que el 7 % se consideraron maliciosas.
El análisis de la actividad de escaneo revela varios patrones de agregación regional con firmas TCP únicas , lo que sugiere la existencia de múltiples grupos de amenazas organizados que operan simultáneamente . Investigadores de seguridad han identificado posibles vínculos entre la serie de escaneos de Palo Alto y las operaciones de exploración simultáneas contra dispositivos Cisco ASA.
Ambas campañas de ataque comparten huellas TCP dominantes vinculadas a la infraestructura en los Países Bajos, junto con comportamientos de agrupamiento regional y características de herramientas similares. El ataque multitecnológico sugiere una campaña de reconocimiento más amplia dirigida a las soluciones empresariales de acceso remoto.
RedazioneInvestigadores de NeuralTrust han descubierto una vulnerabilidad en el navegador ChatGPT Atlas de OpenAI. En esta ocasión, el vector de ataque se encuentra en la barra de direcciones, donde los usuar...
El 27 de octubre se celebró en el Ministerio de Asuntos Exteriores en Beijing el Foro del Salón Azul sobre el tema «Mejorar la gobernanza global y construir una comunidad con un futuro compartido p...
Hackers del gobierno vulneraron una planta de fabricación de componentes para armas nucleares en Estados Unidos explotando vulnerabilidades de Microsoft SharePoint. El incidente afectó al Campus de ...
En los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
