GreyNoise observe une hausse de 500 % des scans visant les portails Palo Alto (GlobalProtect/PAN‑OS)

Selon GreyNoise (blog), un pic de reconnaissance structurée ciblant les portails de connexion Palo Alto a été détecté le 3 octobre 2025, marquant le volume le plus élevé observé en 90 jours.

• 🚨 Surge de scans: ~1 300 IP uniques (hausse de 500 % par rapport à la baseline <200/jour). 93 % des IP sont classées suspicious et 7 % malicious. Les cibles sont principalement les profils GlobalProtect et PAN‑OS. La dynamique rappelle des activités de scan vues avant des divulgations de zero‑day (ex. Cisco ASA), bien que ce motif précis n’ait pas historiquement corrélé à de nouvelles divulgations pour Palo Alto. GreyNoise recommande une surveillance renforcée et d’envisager le blocage des infrastructures malveillantes identifiées.

• 🔎 Caractéristiques techniques: 91 % de l’infrastructure est basée aux États‑Unis. Presque toute l’activité vise des profils émulés Palo Alto, suggérant un fingerprinting fondé sur des bases publiques (Shodan, Censys). Des clusters régionaux se distinguent (ciblage US et Pakistan) avec des TLS fingerprints communs. Un chevauchement d’outillage avec les scans Cisco ASA est observé, incluant des TLS fingerprints liés à une infrastructure basée aux Pays‑Bas. La majorité des infrastructures ont été vues pour la première fois dans les 48 heures du pic, indiquant une reconnaissance délibérée et non du bruit de fond.

• 📌 IOCs (extraits)

  • ~1 300 IP sources de scan (93 % suspicious, 7 % malicious)
  • 91 % d’infrastructure hébergée aux États‑Unis; mentions d’infrastructure liée aux Pays‑Bas (via TLS fingerprints)
  • Ciblage: profils Palo Alto GlobalProtect et PAN‑OS; clusters orientés US et Pakistan
  • Fenêtre d’observation: 3 octobre 2025 (surge), infrastructures majoritairement nouvelles en <48 h

• 🛠️ TTPs observées

  • Reconnaissance ciblée de portails de connexion (GlobalProtect/PAN‑OS)
  • Fingerprinting et utilisation probable de bases publiques (Shodan, Censys)
  • Réutilisation de TLS fingerprints et chevauchement inter‑technologies (avec scans Cisco ASA)
  • Montée en charge rapide d’infrastructures et segmentation régionale du ciblage
  • Coordination inter‑technologies suspectée (non confirmée)

Type d’article: analyse de menace (threat intelligence) visant à documenter une hausse de reconnaissance structurée et ses caractéristiques, avec suivi en cours par GreyNoise.

🧠 TTPs et IOCs détectés

TTPs

[‘Reconnaissance ciblée de portails de connexion (GlobalProtect/PAN-OS)’, ‘Fingerprinting et utilisation probable de bases publiques (Shodan, Censys)’, ‘Réutilisation de TLS fingerprints et chevauchement inter-technologies (avec scans Cisco ASA)’, ‘Montée en charge rapide d’infrastructures’, ‘Segmentation régionale du ciblage’, ‘Coordination inter-technologies suspectée’]

IOCs

[‘1 300 IP sources de scan (93% suspicious, 7% malicious)’, ‘91% d’infrastructure hébergée aux États-Unis’, ‘Infrastructure liée aux Pays-Bas (via TLS fingerprints)’, ‘Ciblage: profils Palo Alto GlobalProtect et PAN-OS’, ‘Clusters orientés US et Pakistan’]

---

🔗 Source originale : https://www.greynoise.io/blog/palo-alto-scanning-surges

🖴 Archive : https://web.archive.org/web/20251005205629/https://www.greynoise.io/blog/palo-alto-scanning-surges