Hackers Actively Scanning Citrix NetScaler Infrastructure to Discover Login Panels
2026/02/04 CyberSecurityNews — 2026年1月28日から 2月2日にかけて実施された、Citrix ADC Gateway/NetScaler Gateway インフラを標的とする大規模な偵察キャンペーンを、GreyNoise Global Observation Grid が検知した。このキャンペーンの実態は、ログイン・パネル探索のためのレジデンシャル・プロキシ・ローテーションと、AWS 上にホストされた集中的なバージョン情報開示スキャンを組み合わせる協調的オペレーションである。それにより、63,000 超のユニーク IP アドレスから、111,834 超のセッションが生成された。
このキャンペーンが示す高度なインフラ・マッピング能力により、Citrix Gateway ハニーポットに対して 79% の標的化率が達成されている。これは通常のスキャン・ノイズを大きく上回るものであり、機会的なクロールではなく、意図的な偵察であることを示唆している。
この脅威アクターは、2 つの補完的な攻撃モードを同時に運用しており、既知の Citrix 脆弱性を標的とする悪用活動へ向けた、協調的な準備段階であると推測されている。
この偵察オペレーションは、目的とインフラ特性が異なる 2つの独立したキャンペーンに分割されていたが、それらは連動した。
ログイン・パネル探索モードでは、レジデンシャル・プロキシ・ネットワークおよび Azure インフラを通じて分散された、63,189 の送信元 IP から 109,942 セッションが生成され、”/logon/LogonPoint/index.html” エンドポイントが集中的に標的とされていた。
その一方で、バージョン情報開示キャンペーンでは、us-west-1 および us-west-2 リージョンに集中する、10個の AWS IP アドレスから 1,892 セッションが生成され、”/epa/scripts/win/nsepa_setup.exe” ファイル・パスに焦点が当てられていた。
2月1日に日付が変わる直前に活性化された 2 つのキャンペーンは、Citrix インフラのみを標的とする排他的なものであり、露出したログイン・パネルの発見とソフトウェア・バージョンの列挙という補完的な目的を持っていた。
Citrix NetScaler ログイン・パネルに対するアクティブ・スキャン
この二正面アプローチは、過去の Citrix 悪用キャンペーンで観測された戦術と一致しており、エクスプロイトを展開する攻撃者が、事前に脆弱なインスタンスをマッピングしていた事例を想起させる。
単一の Microsoft Azure Canada の IP アドレス “52.139.3[.]76” が、全ログイン・パネル・トラフィックの 36% に相当する 39,461 セッションを生成していた。この通信では、Prometheus blackbox-exporter の User-Agent 文字列が使用されていた。
この User-Agent は、偽装が容易だが検知されやすい性質を持つ。その一方で、残りのトラフィックは、ベトナム/アルゼンチン/メキシコ/アルジェリア/イラクなどの、世界各地のレジデンシャル ISP ネットワークから発信されており、各 IP は 1 セッションのみを実行していた。
このレジデンシャル・プロキシ・ローテーション技法では、接続ごとに一意のブラウザ・フィンガープリントが用いられ、IP アドレスと User-Agent 文字列の両方が継続的に切り替えられていた。
正規のコンシューマ ISP アドレスを悪用することで、地理的ブロッキングやレピュテーション・フィルタリングを回避できる。多くのユーザー組織において、潜在的な顧客トラフィックの遮断が避けるためである。
このような分散構造により、従来型のスキャン・キャンペーンと比較して、検知および緩和は著しく困難となる。
その一方で、バージョン情報開示コンポーネントは、2月1日に 6 時間をかけて、集中的なスキャンを実行した。10 個の AWS IP アドレスが Citrix Endpoint Analysis のセットアップ・ファイルを標的に、合計 1,892 リクエストを送信している。
このキャンペーンは、00:00 UTC に 192 セッションで開始され、02:00 UTC に 362 セッションでピークに達し、05:00 UTC に 283 セッションで終了した。これらの 10個の送信元 IP は、2016年当時の Chrome 50 の User-Agent を使用しており、HTTP フィンガープリント特性も完全に一致していた。
このスキャンが急速に開始され、短時間で完了した点は、特定のトリガー事象の存在を示唆している。たとえば、脆弱な Endpoint Analysis (EPA) コンフィグの発見や、特定のデプロイ・ウィンドウに関するインテリジェンス取得が考えられる。
バージョン依存ファイルを標的としている点から、既知の Citrix ADC/NetScaler Gateway の弱点の標的化が懸念される。特に、最近公開された深刻な脆弱性 CVE-2025-5777 (Citrix Bleed 2) などの悪用や、脆弱性の検証への関心が示唆される。
TCP レイヤ分析により、3 つの攻撃コンポーネント間で、明確なインフラ分離が確認された。主要な Azure スキャナは、標準より 62 バイト小さい最大セグメント・サイズ (MSS) を持つ VPN/トンネルのネスト構造を示している。つまり、運用上の秘匿性の確保のために、追加のネットワーク層を経由してトラフィックがルーティングされていたことが分かる。
分散したレジデンシャル・プロキシ・トラフィックは、最大で 16 ビットのウィンドウ・サイズを持つ Windows TCP スタック特性を示しているが、Linux ベースのプロキシ・インフラを経由しており、Windows クライアントが Linux プロキシ・サーバを通じて接続している構成が示唆される。
AWS 上のバージョン・スキャナは、標準 Ethernet を 45倍も上回るジャンボ・フレーム MSS 値を示していた。そこで必要とされるのは、9,000 バイト超の MTU をサポートするデータセンタ・スイッチング・インフラであり、一般的なコンシューマ・ネットワークでは物理的に対応できない。
これら異なるインフラ形態にもかかわらず、すべての通信は、同一の TCP オプション順序を共有しており、基盤となるツールやフレームワークが共通であることを示している。そこから示唆されるのは、単一の脅威アクターもしくは協調するグループが、モジュール化されたスキャン・インフラを、それぞれの偵察目的に応じて使い分けている可能性である。
この偵察活動は、アクティブな悪用試行の準備段階としての、インフラ・マッピングである可能性が高い。特に EPA セットアップ・ファイル・パスを標的としている点は、認証バイパスやリモートコード実行を可能とする、既知の Citrix ADC の脆弱性に対する、バージョン特定型のエクスプロイトの検証/開発への関心を示している。
ユーザー組織として検討すべきは、検知および防御のための措置の速やかに実装することである。具体的には、以下の項目が挙げられる。
- 非許可ソースから発信された blackbox-exporter User-Agent の監視
- /epa/scripts/win/nsepa_setup.exe への外部アクセスに対するアラート
- /logon/LogonPoint/ の高速列挙パターンの検知
追加の指標としては、Citrix Gateway エンドポイントへの HEAD リクエストや、2016年の Chrome 50 のような、古いブラウザ・フィンガープリントが含まれる。
防御面での推奨事項として挙げられるのは、インターネット公開されている Citrix Gateway の必要性の再評価、および、/epa/scripts/ ディレクトリへの認証要件の実装、HTTP レスポンス内でのバージョン情報開示を抑制するための Citrix Gateway のコンフィグなどである。
また、想定外の地理的リージョンに属する、レジデンシャル ISP からの異常なアクセスについても検知/対応すべきである。
侵害指標 ( Indicators of Compromise )
バージョン情報開示キャンペーン (AWS インフラ):
44.251.121[.]190
13.57.253[.]3
50.18.232[.]85
52.36.139[.]223
54.201.20[.]56
54.153.0[.]164
54.176.178[.]13
18.237.26[.]188
54.219.42[.]163
18.246.164[.]162
ログイン・パネル探索 (Azure インフラ):
52.139.3[.]76
Citrix ADC Gateway/NetScaler Gateway インフラを運用している組織にとって必要なことは、これらの IP アドレスからの接続について、直ちにアクセス・ログを確認し、同様の偵察パターンに対する監視を強化することである。
この偵察行為は、世界中に分散した数万件もの一般家庭用ネットワーク (レジデンシャル・プロキシ) と、クラウド・インフラを巧妙に組み合わせる大規模なものです。懸念されるのは、”ログイン画面の検索” と “詳細なバージョンの特定” という 2 つの作業を分担させる攻撃者が、検知を逃れながら効率的に標的を絞り込んだ点です。一般のプロキシを悪用することで、組織が顧客からのアクセスと区別しにくい状況を作り出し、セキュリティ・フィルタを回避していました。それにより、CVE-2025-5777 などの深刻な脆弱性を突くための下見が、高い精度で行われてしまいました。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.