La firma de inteligencia de amenazas Greynoise reveló el viernes que ha observado un aumento en la actividad de escaneo dirigido a los portales de inicio de sesión de Palo Stop Networks.
La compañía dijo que observó un aumento de casi el 500% en las direcciones IP de escaneo de las redes de Palo Stop Portales del 3 de octubre de 2025, el nivel más detención registrado en los últimos tres meses. Describió el tráfico como dirigido y estructurado, y dirigido principalmente a los portales de inicio de sesión de Palo Stop.
Hasta 1.300 direcciones IP únicas han participado en el esfuerzo, un brinco significativo de rodeando de 200 direcciones IP únicas observadas antiguamente. De estas direcciones IP, el 93% se clasifican como sospechosos y del 7% como maliciosos.
La gran mayoría de las direcciones IP se geolocan a los Estados Unidos, con grupos más pequeños detectados en el Reino Unido, los Países Bajos, Canadá y Rusia.
«Este aumento de Palo Stop comparte características con Cisco ASA Scanning que ocurre en las últimas 48 horas», señaló Greynoise. «En los dos casos, los escáneres exhibieron una superposición regional de agrupación y huellas dactilares en las herramientas utilizadas».
«Tanto el tráfico de escaneo de inicio de sesión de Cisco ASA y Palo Stop en las últimas 48 horas comparten una huella digital TLS dominante vinculada a la infraestructura en los Países Bajos».
En abril de 2025, GreyNoise informó una actividad de escaneo de inicio de sesión sospechosa similar dirigida a las puertas de enlace PAN-OS GlobalProtect PAN-OS, lo que lleva a la compañía de seguridad de la red a instar a los clientes a cerciorarse de que estén ejecutando las últimas versiones del software.
El progreso se produce cuando Greynoise señaló en su mensaje de señales de advertencia temprana en julio de 2025 que aumenta los intentos de escaneo pillo, forzamiento bruto o exploit a menudo seguidos por la divulgación de una nueva CVE que afecta la misma tecnología internamente de las seis semanas.
A principios de septiembre, Greynoise advirtió sobre escaneos sospechosos que ocurrieron a fines de agosto, atacados a dispositivos de dispositivos de seguridad adaptativos de Cisco (ASA). La primera ola se originó en más de 25,100 direcciones IP, principalmente ubicadas en Brasil, Argentina y Estados Unidos.
Semanas luego, Cisco reveló dos nuevos días cero en Cisco ASA (CVE-2025-20333 y CVE-2025-20362) que habían sido explotados en ataques del mundo auténtico para desplegar familias de malware como Rayiniciator y Line Viper.
Los datos de la Fundación Shadowserver muestran que más de 45,000 instancias ASA/FTD de Cisco, de las cuales más de 20,000 se encuentran en los EE. UU. Y aproximadamente 14,000 se encuentran en Europa, todavía son susceptibles a las dos vulnerabilidades.
