Un análisis reciente de GreyNoise reveló un incremento abrupto y masivo en el tráfico malicioso dirigido a los portales GlobalProtect de Palo Alto Networks, alcanzando el nivel más alto de los últimos 90 días y encendiendo alarmas en la comunidad de ciberseguridad.
1. Un pico inesperado que apunta a algo más grande
El 14 de noviembre, GreyNoise registró aproximadamente 2.3 millones de sesiones lanzadas contra el endpoint global-protect/login.esp, utilizado por dispositivos PAN-OS y GlobalProtect.
En solo 24 horas, la actividad se multiplicó casi por 40, superando cualquier patrón reciente.
Los hallazgos muestran que:
El 62% del tráfico provino de un solo proveedor: AS200373 (3xK Tech GmbH).
Otro 15% se originó en Canadá.
Un segundo proveedor, AS208885, también participó de manera constante.
Los escaneos afectaron portales ubicados en Estados Unidos, México y Pakistán, con niveles de actividad muy similares entre países, lo que indica un barrido amplio y oportunista, más que un ataque dirigido.
2. ¿El mismo actor detrás de campañas previas?
GreyNoise detectó coincidencias claras con actividades maliciosas anteriores contra equipos Palo Alto:
Firmas TCP recurrentes
Huellas JA4t similares
Infraestructura previamente usada en campañas relacionadas
Según Matthew Remacle, Security Research Architect en GreyNoise, existe alta confianza de que se trata del mismo actor o grupo que ha operado de forma repetida contra tecnologías Palo Alto.
3. ¿Antesala de una vulnerabilidad? El patrón se repite
Este comportamiento encaja con fenómenos observados antes en otros proveedores:
GreyNoise recuerda que, en múltiples incidentes previos, los picos de escaneo precedieron divulgaciones de vulnerabilidades, especialmente en productos VPN.
En el caso de Fortinet, este tipo de actividad se detectó semanas antes de la publicación de fallas críticas.
En el 80% de incidentes analizados, un aumento similar fue seguido por una CVE en un plazo de seis semanas.
Aunque esto no confirma que Palo Alto esté lidiando con un bug no revelado, la combinación de volumen, repetición e infraestructura conocida es suficiente para levantar suspicacias.
4. ¿Qué dicen Palo Alto y la comunidad?
Palo Alto no ha publicado ningún aviso reciente que explique el fenómeno.
Tampoco ha respondido a las consultas de medios especializados.
No existe, por el momento, ninguna explotación confirmada asociada a este tráfico.
Mientras tanto, GreyNoise lanzó una blocklist específica para Palo Alto en su servicio Block, y recomienda que los defensores generen filtros basados en ASN, JA4, geolocalización o clasificación del tráfico.
5. Recomendaciones para organizaciones con GlobalProtect expuesto
Frente a un patrón que históricamente precede campañas de explotación, las organizaciones deberían:
Fortalecer el acceso al portal
Limitar la exposición pública si es posible.
Activar restricciones geográficas o basadas en ASN.
Monitorear señales tempranas
Revisar logs de autenticación y anomalías en login.
Vigilar aumentos repentinos en el tráfico hacia el endpoint login.esp.
Preparar defensas de contención
Implementar blocklists sugeridas por GreyNoise.
Activar reglas IPS o WAF si el escaneo escala a explotación activa.
Conclusión
El inusual volumen y consistencia del tráfico malicioso sugiere que la campaña podría ser la fase previa a un descubrimiento de vulnerabilidad, o bien una operación de reconocimiento a gran escala. En cualquier caso, para las organizaciones que dependen de GlobalProtect, este es un momento para permanecer atentas, reforzar monitoreo y prepararse para una posible evolución del escenario.
