Os hackers desencadearam mais de 2,3 milhões de sessões maliciosas contra os portais VPN GlobalProtect da Palo Alto Networks desde 14 de novembro de 2025, de acordo com a empresa de inteligência de ameaças GreyNoise.
Este aumento, que se intensificou dramaticamente em 24 horas, atingindo um aumento de 40 vezes, representa o nível de atividade mais elevado dos últimos 90 dias e sublinha os riscos crescentes para os sistemas de acesso remoto em todo o mundo.
Os ataques visam principalmente o URI /global-protect/login.esp nas plataformas Palo Alto PAN-OS e GlobalProtect, concentrando-se em tentativas de login de força bruta que podem expor redes corporativas a acesso não autorizado.
Os pesquisadores da GreyNoise observaram o rápido aumento a partir da semana passada, com o pico de atividade à medida que as organizações dependem fortemente dessas VPNs para trabalho remoto seguro. Esta campanha não apenas ameaça violações de dados, mas também destaca vulnerabilidades persistentes em ferramentas de segurança de rede amplamente utilizadas.
Surto vinculado a atores de ameaças coordenadas
A GreyNoise descobriu fortes laços entre este ataque em Palo Alto e campanhas maliciosas anteriores, atribuindo-as com alta confiança a atores de ameaças sobrepostos.
Os principais indicadores incluem impressões digitais TCP e JA4t consistentes em incidentes, infraestrutura compartilhada por meio de Números de Sistema Autônomo (ASNs) recorrentes e tempo sincronizado em picos de atividade.
Esses padrões sugerem uma operação sofisticada, possivelmente patrocinada pelo Estado ou de crime cibernético, iterando táticas comprovadas para investigar pontos fracos nas defesas empresariais.
A infraestrutura por trás dos ataques é altamente concentrada, com 62% das sessões originadas da AS200373 (3xK Tech GmbH), uma empresa alemã, formando a espinha dorsal da campanha.
Outros 15% rastreiam o mesmo ASN, mas são roteados através de clusters canadenses, indicando hospedagem distribuída para evitar a detecção. As contribuições secundárias vêm de AS208885 (Noyobzoda Faridduni Saidilhom), reforçando uma pegada coordenada que abrange continentes.
Os alvos parecem estar geograficamente focados, com os Estados Unidos, o México e o Paquistão enfrentando, cada um, volumes aproximadamente iguais de investigações de login. Essa distribuição pode refletir invasores priorizando regiões de alto valor ou aproveitando listas de credenciais roubadas de diversas fontes.
Para caça defensiva, GreyNoise destacou duas impressões digitais JA4t cobrindo todas as atividades observadas: 65495_2-4-8-1-3_65495_7 e 33280_2-4-8-1-3_65495_7.
Tipo de indicadorValorASN (primário)AS200373 (3xK Tech GmbH)ASN (secundário)AS208885 (Noyobzoda Faridduni Saidilhom)JA4t Impressão digital 165495_2-4-8-1-3_65495_7JA4t Impressão digital 233280_2-4-8-1-3_65495_7URI de destino/global-protect/login.esp
Este incidente ecoa os padrões históricos observados pela GreyNoise, onde picos nos ataques de força bruta da Fortinet VPN geralmente precedem as divulgações de vulnerabilidades dentro de seis semanas, uma tendência observada pela primeira vez em julho de 2025.
Surtos semelhantes atingiram os portais de Palo Alto em abril e outubro de 2025, gerando alertas e vinculados a campanhas mais amplas contra dispositivos Cisco e Fortinet.
As organizações devem auditar os portais expostos do GlobalProtect, aplicar a autenticação multifator e monitorar esses indicadores para evitar possíveis explorações.
Como o acesso remoto continua a ser um vetor primordial para ransomware e espionagem, esta onda de 2,3 milhões de ataques serve como um forte lembrete para as empresas endurecerem as configurações de VPN em meio à crescente sofisticação das ameaças.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
