Occhi invisibili sul gateway: come gli hacker stanno mappando Citrix NetScaler per attacchi futuri
Sottotitolo: Una campagna globale di ricognizione informatica sta prendendo di mira i pannelli di login Citrix e le versioni software, gettando le basi per potenziali exploit su larga scala.
Nelle ore prima dell’alba di febbraio 2026, una silenziosa tempesta digitale ha attraversato le reti di tutto il mondo. Gli amministratori di Citrix NetScaler-custodi di infrastrutture aziendali critiche-si sono svegliati scoprendo che i loro sistemi erano stati coinvolti in una scansione vasta e coordinata. Gli attaccanti non cercavano password o dati-non ancora. Stavano invece mappando il territorio, annotando in silenzio quali porte potrebbero essere rimaste socchiuse per una futura intrusione.
I ricercatori di sicurezza di GreyNoise hanno lanciato l’allarme dopo aver rilevato un’impennata straordinaria di traffico diretta verso l’infrastruttura Citrix ADC (NetScaler) Gateway. A differenza del normale “rumore” di internet, questa era una campagna calcolata su due fronti. La prima ondata-battezzata Login Panel Discovery-ha visto gli attaccanti tentare quasi 110.000 connessioni alla pagina di login di NetScaler, ognuna a sondare la presenza di pannelli di autenticazione esposti. Il movente? Costruire un inventario globale di potenziali bersagli e rilevare quali versioni software fossero in uso.
Ciò che rende questa campagna particolarmente insidiosa è l’uso di proxy residenziali-computer e dispositivi comuni compromessi, distribuiti tra Vietnam, Argentina, Messico, Algeria e Iraq. Instradando il traffico attraverso questi proxy, gli attaccanti hanno camuffato le scansioni come legittima attività internet dei consumatori, aggirando i tradizionali filtri basati sulla reputazione degli IP e i geoblocchi. Nel frattempo, un singolo IP Microsoft Azure in Canada ha sostenuto oltre un terzo dei sondaggi sui pannelli di login, tutti mascherati con lo user agent “Prometheus blackbox-exporter”, uno strumento spesso usato per il monitoraggio automatizzato.
La ricognizione non si è fermata lì. Il 1° febbraio è iniziata una seconda fase, più chirurgica: Version Disclosure. Dieci istanze cloud AWS usa e getta, ciascuna camuffata con un’impronta di browser Chrome 50 obsoleta, hanno scatenato quasi 2.000 richieste mirate per sondare il componente Endpoint Analysis (EPA) di Citrix. Questa fase è durata appena sei ore, raggiungendo il picco nel cuore della notte-tempistica scelta, forse, per passare inosservata.
Gli investigatori ritengono che queste scansioni siano più che semplice curiosità. Catalogando i pannelli di login e le versioni degli endpoint, gli attaccanti stanno predisponendo le basi tecniche per exploit futuri-soprattutto alla luce di recenti vulnerabilità Citrix di alto profilo come “CitrixBleed 2” (CVE-2025-5777) e una nuova falla di esecuzione di codice da remoto (CVE-2025-5775). L’implicazione è agghiacciante: da qualche parte, attori della minaccia stanno preparando attacchi su misura, adattati alle specifiche debolezze che hanno appena mappato.
Per i difensori, il messaggio è chiaro. Monitorate gli user agent sospetti, in particolare “blackbox-exporter” provenienti da fonti non familiari. Tenete d’occhio impronte di browser obsolete e richieste anomale ai pannelli di login. Soprattutto, limitate l’esposizione su internet dei sistemi Citrix e rafforzate l’autenticazione sulle directory sensibili. La fase di ricognizione può essere silenziosa-ma è il primo rullo di tamburi di un attacco più grande in arrivo.
Man mano che gli avversari informatici diventano più audaci e sofisticati, la mappatura silenziosa delle infrastrutture non è più rumore di fondo-è la mossa d’apertura in un gioco ad altissima posta. Il momento di agire è adesso, prima che questi occhi invisibili sul gateway diventino mani ai comandi.
WIKICROOK
- Proxy residenziale: Un proxy residenziale utilizza un vero indirizzo IP domestico per far apparire l’attività online come proveniente da un utente reale, mascherando la fonte effettiva.
- Prometheus Blackbox Exporter: Prometheus Blackbox Exporter sonda gli endpoint per monitorare lo stato di salute e l’uptime dei servizi, ma può essere abusato per imitare traffico legittimo a fini malevoli.
- Impronta del browser: Un’impronta del browser è un insieme di dati unici raccolti dal browser e dal dispositivo, usati dai siti web per identificare e tracciare gli utenti tra sessioni.
- Endpoint Analysis (EPA): Endpoint Analysis (EPA) verifica se un dispositivo client soddisfa i requisiti di sicurezza prima di consentire l’accesso alle risorse Citrix, garantendo la conformità e riducendo i rischi.
- Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso arrivando al controllo completo o alla compromissione di quel sistema.




