Entre 11 e 12 de dezembro de 2025, a GreyNoise identificou uma campanha coordenada e automatizada focada em infraestrutura de autenticação VPN corporativa. A atividade mirou, de forma sequencial, portais Cisco SSL VPN e Palo Alto Networks GlobalProtect.
O ponto central não envolve exploração de vulnerabilidades, mas sim ataques baseados em credenciais, como brute force, password spraying e credential stuffing, o que amplia o impacto direto para clientes que expõem serviços VPN à internet.
Visão geral da campanha e impacto para clientes VPN
A campanha observada apresenta forte correlação entre alvos, infraestrutura e ferramentas utilizadas. Portanto, tudo indica que se trata de uma única operação automatizada que alternou o foco entre diferentes plataformas VPN ao longo de poucos dias.
Segundo a GreyNoise, os ataques não exploraram falhas de software conhecidas. Em vez disso, os atacantes executaram tentativas massivas de autenticação, reutilizando combinações comuns de usuário e senha. Esse padrão afeta diretamente organizações que dependem de VPNs para acesso remoto, especialmente aquelas com autenticação fraca ou sem MFA habilitado.
Além disso, a campanha se destacou pelo volume e pela rapidez. Em um curto intervalo de tempo, houve um aumento abrupto no número de sessões e de endereços IP envolvidos. Esse tipo de comportamento eleva o risco de comprometimento de contas válidas, principalmente quando credenciais vazadas anteriormente são reutilizadas.
Atividade contra Palo Alto Networks GlobalProtect
A primeira fase da campanha teve como alvo portais GlobalProtect. A GreyNoise registrou aproximadamente 1,7 milhão de sessões automatizadas em apenas 16 horas, o que caracteriza um pico anômalo e altamente concentrado de tráfego.
Mais de 10 mil IPs únicos tentaram autenticação em portais GlobalProtect no dia 11 de dezembro. Geograficamente, os alvos estavam majoritariamente nos Estados Unidos, Paquistão e México. No entanto, quase todo o tráfego de origem partiu de blocos de IP associados ao provedor 3xK GmbH, da Alemanha. Isso indica uso de infraestrutura centralizada em nuvem, e não de dispositivos finais distribuídos.
Do ponto de vista técnico, as requisições seguiram um padrão uniforme. Os atacantes reutilizaram combinações comuns de credenciais e mantiveram a mesma estrutura de requisição. Além disso, praticamente todas as tentativas apresentaram um user agent semelhante ao Firefox, o que é incomum para automações vindas desse provedor específico.
Esse conjunto de sinais reforça que o objetivo não era acesso interativo. Pelo contrário, a campanha buscou identificar portais expostos ou protegidos de forma inadequada. Ou seja, tratou-se de um esforço sistemático de mapeamento e validação de credenciais em larga escala.
Ataques subsequentes contra Cisco SSL VPN
No dia seguinte, em 12 de dezembro, a campanha mudou o foco para endpoints Cisco SSL VPN. A GreyNoise observou um salto significativo no número de IPs atacantes únicos, que passou de um patamar normal inferior a 200 para 1.273 em um único dia.
A maior parte do tráfego atingiu sensores do tipo “facade”, que escutam múltiplas portas de forma genérica. Portanto, isso sugere um comportamento oportunista, no qual os atacantes procuram qualquer endpoint VPN acessível, independentemente do ambiente específico da vítima.
A análise técnica mostrou forte ligação entre essa fase e os ataques anteriores ao GlobalProtect. Ambos compartilham o mesmo fingerprint TCP e utilizam novamente IPs do provedor 3xK GmbH. Além disso, o user agent predominante foi:
Mozilla/5.0 (Windows NT 10.0; Win64; x64)
Esse detalhe é relevante porque marca a primeira vez, nas últimas 12 semanas, que IPs hospedados na 3xK foram usados em larga escala contra Cisco SSL VPN. Portanto, há um claro reaproveitamento de tooling e infraestrutura.
Os corpos das requisições confirmam o caráter de ataque por credenciais. As tentativas seguiram o fluxo padrão de login do SSL VPN, incluindo manipulação de tokens CSRF e campos parametrizados de usuário e senha. Não houve indícios de exploração de falhas de software ou bypass lógico.
Por que esse tipo de campanha é especialmente perigoso
Ataques baseados em credenciais continuam extremamente eficazes. Diferentemente de exploits, eles não dependem de vulnerabilidades específicas nem de versões desatualizadas. Assim, qualquer ambiente que reutilize senhas fracas ou vazadas se torna um alvo viável.
Além disso, VPNs representam um ponto crítico de acesso. Quando um atacante obtém credenciais válidas, ele pode se conectar de forma legítima, contornar controles perimetrais e avançar lateralmente na rede. Portanto, o impacto potencial vai muito além da simples indisponibilidade do serviço.
Outro fator de risco é o volume. Campanhas automatizadas como essa podem testar milhares de credenciais em poucas horas. Mesmo uma taxa de sucesso baixa já é suficiente para gerar comprometimentos relevantes, especialmente em organizações grandes.
Ações recomendadas para mitigar o risco
Diante desse cenário, algumas medidas são fundamentais para clientes que utilizam Cisco SSL VPN ou Palo Alto GlobalProtect.
Primeiramente, é essencial reforçar a higiene de autenticação. Todas as contas devem usar senhas fortes e exclusivas. Além disso, a ativação de MFA reduz drasticamente a efetividade de ataques de credential stuffing e password spraying.
Em segundo lugar, auditorias regulares em dispositivos de borda fazem diferença. É importante revisar logs de autenticação, identificar padrões anômalos e confirmar se tentativas de login são esperadas. Quando necessário, a equipe deve escalar rapidamente para investigação.
Por fim, o bloqueio proativo de IPs maliciosos ajuda a reduzir a superfície de ataque.
Portanto, clientes que dependem de VPN para acesso remoto devem tratar autenticação como prioridade estratégica. Controles sólidos, monitoramento contínuo e resposta rápida não são opcionais. Eles representam a diferença entre tentativas ruidosas e um comprometimento silencioso da rede.
About The Author
