Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix.

Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures.

Mode « Login Panel Discovery ». Un IP Microsoft Azure Canada unique (52.139.3.76) a généré 39 461 sessions (36% du trafic login) avec l’agent utilisateur « Prometheus blackbox-exporter ». Le reste provient de FAI résidentiels (Vietnam, Argentine, Mexique, Algérie, Irak, etc.), à raison d’une session par IP, avec empreintes navigateur uniques et rotation d’adresses/UA, permettant de contourner le géoblocage et les filtres de réputation.

Mode « Version Disclosure ». Le 1er février, 10 IP AWS (régions us-west-1/us-west-2) ont lancé 1 892 requêtes vers le chemin /epa/scripts/win/nsepa_setup.exe en 6 heures (00:00: 192; 02:00: 362 pic; 05:00: 283), avec un user-agent Chrome 50 (2016) et des empreintes HTTP uniformes. La synchronisation et l’uniformité suggèrent un sprint de scan déclenché par des indices sur des configurations EPA ou des fenêtres de déploiement.

Empreintes réseau (TCP). Les sources Azure montrent une MSS réduite (encapsulation VPN/tunnel). Le trafic résidentiel expose des stacks TCP Windows (fenêtre 16 bits max) relayés par des proxys Linux. Les scanners AWS utilisent des MSS « jumbo frames » nécessitant une infrastructure datacenter (MTU 9 000+), impossible sur réseaux grand public. Malgré ces différences, toutes les sources partagent un ordre d’options TCP identique, signe d’un outillage commun sous-jacent.

🔎 Détection et recommandations (issues du rapport)

  • Détection: surveiller l’agent « blackbox-exporter » non autorisé; alerter sur l’accès à /epa/scripts/win/nsepa_setup.exe; repérer les énumérations rapides de /logon/ et /LogonPoint/; surveiller les requêtes HEAD vers Citrix Gateway; détecter les UA obsolètes (Chrome 50).
  • Recommandations: revoir l’exposition Internet des Gateways Citrix; authentifier l’accès au répertoire /epa/scripts/; supprimer la divulgation de version dans les réponses HTTP; flagger les accès depuis FAI résidentiels inattendus.

🧪 IOCs

  • IPs AWS (Version Disclosure): 44.251.121.190, 13.57.253.3, 50.18.232.85, 52.36.139.223, 54.201.20.56, 54.153.0.164, 54.176.178.13, 18.237.26.188, 54.219.42.163, 18.246.164.162
  • IP Azure (Login Panel): 52.139.3.76
  • Chemins ciblés: /logon/, /LogonPoint/, index.html, /epa/scripts/win/nsepa_setup.exe
  • User-agents: Prometheus blackbox-exporter; Chrome 50 (circa 2016)

🛠️ TTPs observés

  • Reconnaissance ciblée de panneaux de connexion et énumération de versions
  • Rotation de proxys résidentiels (1 IP/session, UA et empreintes navigateur variés)
  • Sprints de scan centralisés depuis AWS avec empreintes uniformes
  • Utilisation de requêtes HEAD vers endpoints Citrix
  • Empreintes TCP distinctes par infrastructure mais options TCP identiques (outillage commun)

Conclusion. Il s’agit d’une analyse de menace visant à documenter une phase de pré-attaque contre des environnements Citrix et à fournir des indicateurs/détections pour la communauté.

🧠 TTPs et IOCs détectés

TTP

Reconnaissance ciblée de panneaux de connexion et énumération de versions; Rotation de proxys résidentiels (1 IP/session, UA et empreintes navigateur variés); Sprints de scan centralisés depuis AWS avec empreintes uniformes; Utilisation de requêtes HEAD vers endpoints Citrix; Empreintes TCP distinctes par infrastructure mais options TCP identiques (outillage commun)

IOC

IPs AWS (Version Disclosure): 44.251.121.190, 13.57.253.3, 50.18.232.85, 52.36.139.223, 54.201.20.56, 54.153.0.164, 54.176.178.13, 18.237.26.188, 54.219.42.163, 18.246.164.162; IP Azure (Login Panel): 52.139.3.76; Chemins ciblés: /logon/, /LogonPoint/, index.html, /epa/scripts/win/nsepa_setup.exe; User-agents: Prometheus blackbox-exporter; Chrome 50 (circa 2016)

🔗 Source originale : https://www.labs.greynoise.io/grimoire/2026-02-02-citrix-recon-residential-proxies/