Reconnaissance

Selon GreyNoise Labs, une campagne coordonnée de reconnaissance a visé les infrastructures Citrix ADC Gateway / Netscaler Gateway entre le 28 janvier et le 2 février 2026, combinant découverte de panneaux de connexion et divulgation de versions, avec un taux de ciblage de 79% sur des honeypots Citrix. Vue d’ensemble et objectifs. L’opération comprend deux volets complémentaires: 1) une découverte massive de panneaux de login (109 942 sessions, >63 000 IP sources) via rotation de proxys résidentiels, et 2) une divulgation de versions (1 892 requêtes) depuis 10 IP AWS sur une fenêtre concentrée de 6 heures. L’objectif apparent est de cartographier les instances Citrix exposées et énumérer les versions pour de potentielles étapes ultérieures. ...

Security Affairs relaie une analyse de GreyNoise signalant un pic inhabituel de scans dirigés vers les portails de connexion Palo Alto Networks le 3 octobre 2025, au plus haut niveau des trois derniers mois. 🚨 Chiffres clés: 1 285 IPs ont scanné les portails Palo Alto (vs ~200 habituellement). 93% des IPs sont jugées « suspectes », 7% « malveillantes ». 🌍 Répartition: majorité des sources depuis les États-Unis, avec des grappes plus petites au Royaume-Uni, Pays-Bas, Canada et Russie. Les scans visent des profils Palo Alto émulés, avec un focus notable sur des systèmes situés aux États-Unis et au Pakistan. ...

Selon GreyNoise (blog), un pic de reconnaissance structurée ciblant les portails de connexion Palo Alto a été détecté le 3 octobre 2025, marquant le volume le plus élevé observé en 90 jours. 🚨 Surge de scans: ~1 300 IP uniques (hausse de 500 % par rapport à la baseline <200/jour). 93 % des IP sont classées suspicious et 7 % malicious. Les cibles sont principalement les profils GlobalProtect et PAN‑OS. La dynamique rappelle des activités de scan vues avant des divulgations de zero‑day (ex. Cisco ASA), bien que ce motif précis n’ait pas historiquement corrélé à de nouvelles divulgations pour Palo Alto. GreyNoise recommande une surveillance renforcée et d’envisager le blocage des infrastructures malveillantes identifiées. ...

Selon Darknet.org.uk, « asnip » est un outil dédié à la reconnaissance réseau qui permet de cartographier des domaines et adresses IP vers leurs numéros d’AS (ASN), de récupérer les plages CIDR associées et de les convertir en listes d’IP exploitables. Fonctionnalités mises en avant: Association de domaines/IP à leurs Autonomous System Numbers (ASNs). Récupération des CIDR liés aux ASNs identifiés. Conversion des CIDR en IPs pour faciliter la reconnaissance. Objectif: fournir un moyen rapide de passer d’artefacts de surface (domaines, IPs) à des plages d’adresses IP complètes liées à un même ASN, dans un contexte de reconnaissance. ...

L’article, publié par une source d’actualité, met en lumière une nouvelle technique utilisée par des opérations de ransomware pour espionner leurs victimes. Les groupes affiliés aux ransomwares Qilin et Hunters International ont été observés en train d’installer Kickidler, un outil légitime de surveillance des employés, après avoir compromis des réseaux. Kickidler est un logiciel qui permet de capturer des frappes de clavier, de prendre des captures d’écran et d’enregistrer des vidéos de l’écran, facilitant ainsi la reconnaissance et le vol d’informations d’identification. Ce logiciel est normalement utilisé par plus de 5 000 organisations dans 60 pays pour des fonctions de surveillance visuelle et de prévention des pertes de données. ...