GreyNoise tracks massive Citrix Gateway recon using 63K+ residential proxies and AWS

Entre el 28 de enero y el 2 de febrero de 2026, GreyNoise detectó una campaña de reconocimiento coordinada dirigida a Citrix ADC y NetScaler Gateways. Los atacantes utilizaron más de 63,000 proxies residenciales para identificar paneles de inicio de sesión y luego emplearon infraestructura de AWS para enumerar versiones de software en más de 111,000 sesiones. La actividad, altamente dirigida (79% contra honeypots de Citrix Gateway), sugiere un mapeo deliberado de la infraestructura antes de posibles ataques, posiblemente con el objetivo de explotar archivos de configuración EPA. Los atacantes demostraron sofisticación al usar VPNs, túneles y configuraciones de red de nivel de centro de datos para evadir filtros y ocultar su actividad, indicando el uso de herramientas y frameworks comunes a pesar de la diversificación de la infraestructura.