Netcrook Logo
👤 LOGICFALCON
🗓️ 04 Feb 2026   🌍 North America

Proxy Shadows : La chasse mondiale aux passerelles Citrix révélée

Sous-titre : Une vaste opération de reconnaissance exploite des proxys résidentiels et la puissance du cloud pour cartographier les pages de connexion Citrix NetScaler et exposer des organisations du monde entier à des cybermenaces ciblées.

À 2h00 UTC, une tempête silencieuse a balayé le globe. Les équipes de sécurité surveillant leurs passerelles Citrix NetScaler ont vu le trafic s’envoler - non pas le bruit aléatoire des scans d’internet, mais une exploration nette et méthodique. Des milliers d’adresses IP uniques, dissimulées derrière des proxys résidentiels et des serveurs cloud, étaient en mission : trouver et identifier chaque page de connexion Citrix exposée à portée de vue.

La campagne, révélée par des chercheurs en cybersécurité, n’avait rien de fortuit. Elle s’est déroulée en deux phases distinctes : une vaste recherche distribuée de panneaux de connexion Citrix, suivie d’une course ciblée pour extraire les informations de version des systèmes exposés. La première vague a vu près de 110 000 sessions provenant de plus de 63 000 adresses IP uniques, la plupart cachées derrière des proxys résidentiels dans des pays aussi éloignés que le Vietnam, l’Algérie ou le Mexique. Cela a permis aux acteurs malveillants de contourner les blocages géographiques et les filtres de réputation, le trafic se fondant dans celui d’utilisateurs internet ordinaires.

Un détail intrigant : une seule adresse IP Microsoft Azure au Canada était responsable de plus d’un tiers de ces scans, utilisant l’agent utilisateur caractéristique “Prometheus blackbox-exporter” - signe que l’opération allait bien au-delà d’une exploration opportuniste. Chaque IP changeait d’empreinte navigateur, rendant la détection encore plus difficile. Puis, le 1er février 2026, l’opération a changé de rythme. Dix instances AWS, toutes aux États-Unis, ont lancé une attaque concentrée de six heures, martelant le fichier d’installation Citrix Endpoint Analysis (EPA) pour énumérer les versions logicielles - une information cruciale pour élaborer des exploits ciblés.

Pourquoi cette urgence ? De récentes vulnérabilités critiques, notamment “CitrixBleed 2” (CVE-2025-5777) et une faille d’exécution de code à distance zero-day (CVE-2025-5775), ont placé l’infrastructure Citrix dans la ligne de mire d’attaquants sophistiqués. En cartographiant les panneaux de connexion et en extrayant les données de version, les adversaires peuvent rapidement identifier quelles organisations sont vulnérables - et agir avant que les défenseurs ne puissent corriger ou masquer leurs systèmes.

La détection est possible, mais seulement pour ceux qui surveillent de près. Les chercheurs recommandent de surveiller les agents utilisateurs inhabituels (comme le blackbox-exporter), les pics soudains de requêtes de pages de connexion, l’accès au fichier d’installation EPA, et les empreintes de navigateur obsolètes (notamment Chrome 50 de 2016). Les organisations devraient vérifier d’urgence si leurs passerelles Citrix doivent réellement être exposées à internet, imposer une authentification sur les chemins sensibles, et surveiller attentivement les tentatives de connexion provenant de régions inattendues ou de FAI résidentiels.

Cette vaste campagne de reconnaissance rappelle brutalement que même le trafic réseau le plus anodin peut masquer une chasse coordonnée à vos faiblesses. Dans le monde des cybermenaces, les ombres se déplacent vite - et cherchent toujours une porte ouverte.

WIKICROOK

  • Proxy résidentiel : Un proxy résidentiel utilise une véritable adresse IP domestique pour faire apparaître l’activité en ligne comme provenant d’un utilisateur réel, masquant ainsi la véritable source.
  • Citrix NetScaler Gateway : Citrix NetScaler Gateway permet aux utilisateurs distants de se connecter en toute sécurité au réseau de l’entreprise, en utilisant chiffrement et authentification pour protéger les données sensibles.
  • Énumération : L’énumération est une technique par laquelle les attaquants collectent des informations comme des noms d’utilisateur ou des ressources réseau afin d’identifier des vulnérabilités et planifier un accès non autorisé.
  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel, sans correctif disponible, ce qui la rend très précieuse et dangereuse pour les attaquants.
  • User Agent : Un User Agent est une information envoyée par votre navigateur aux sites web, révélant des détails sur le navigateur et l’appareil, ce qui peut impacter la sécurité et la vie privée.
Citrix Gateways Cyber Threats Residential Proxies
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news