La firma de inteligencia de amenazas Greynoise reveló el viernes que ha observado un aumento en la actividad de escaneo dirigido a los portales de inicio de sesión de Palo Detención Networks.
La compañía dijo que observó un aumento de casi el 500% en las direcciones IP de escaneo de las redes de Palo Detención Portales del 3 de octubre de 2025, el nivel más suspensión registrado en los últimos tres meses. Describió el tráfico como dirigido y estructurado, y dirigido principalmente a los portales de inicio de sesión de Palo Detención.
Hasta 1.300 direcciones IP únicas han participado en el esfuerzo, un brinco significativo de en torno a de 200 direcciones IP únicas observadas ayer. De estas direcciones IP, el 93% se clasifican como sospechosos y del 7% como maliciosos.
La gran mayoría de las direcciones IP se geolocan a los Estados Unidos, con grupos más pequeños detectados en el Reino Unido, los Países Bajos, Canadá y Rusia.
“Este aumento de Palo Detención comparte características con Cisco ASA Scanning que ocurre en las últimas 48 horas”, señaló Greynoise. “En los dos casos, los escáneres exhibieron una superposición regional de agrupación y huellas dactilares en las herramientas utilizadas”.
“Tanto el tráfico de escaneo de inicio de sesión de Cisco ASA y Palo Detención en las últimas 48 horas comparten una huella digital TLS dominante vinculada a la infraestructura en los Países Bajos”.
En abril de 2025, GreyNoise informó una actividad de escaneo de inicio de sesión sospechosa similar dirigida a las puertas de enlace PAN-OS GlobalProtect PAN-OS, lo que lleva a la compañía de seguridad de la red a instar a los clientes a comprobar de que estén ejecutando las últimas versiones del software.
El ampliación se produce cuando Greynoise señaló en su noticia de señales de advertencia temprana en julio de 2025 que aumenta los intentos de escaneo desconfiado, forzamiento bruto o exploit a menudo seguidos por la divulgación de una nueva CVE que afecta la misma tecnología en el interior de las seis semanas.
A principios de septiembre, Greynoise advirtió sobre escaneos sospechosos que ocurrieron a fines de agosto, atacados a dispositivos de dispositivos de seguridad adaptativos de Cisco (ASA). La primera ola se originó en más de 25,100 direcciones IP, principalmente ubicadas en Brasil, Argentina y Estados Unidos.
Semanas a posteriori, Cisco reveló dos nuevos días cero en Cisco ASA (CVE-2025-20333 y CVE-2025-20362) que habían sido explotados en ataques del mundo auténtico para desplegar familias de malware como Rayiniciator y Line Viper.
Los datos de la Fundación Shadowserver muestran que más de 45,000 instancias ASA/FTD de Cisco, de las cuales más de 20,000 se encuentran en los EE. UU. Y aproximadamente 14,000 se encuentran en Europa, todavía son susceptibles a las dos vulnerabilidades.
