Конец января 2026 года. Ты сидишь в своём кресле, метрики зелёные, фаерволы работают, антивирус молчит. Всё спокойно. А в это время 63 тысячи IP-адресов по всему миру методично сканируют твои Citrix-шлюзы. Каждый запрос выглядит легитимно - это же реальные IP домашних пользователей из Вьетнама, Аргентины, Мексики, Алжира, Ирака. Они стучатся с уникальными браузерными отпечатками, как будто реальные люди заходят на сайт. А потом, в течение шести часов, десяток машин в AWS методично перебирают версии твоего Citrix, чтобы понять, подходишь ли ты под свежий эксплойт.
Это не случайный сканер из интернета. Это спланированная военная операция в цифре. GreyNoise зафиксировал кампанию, которая перевернула представление о разведке: 111 834 сессии, 79% трафика целенаправленно долбилось по Citrix Gateway, а не по случайным портам. Кто-то с очень серьёзными ресурсами ищет добычу.
Но эта история глубже, чем просто сканирование. Мы стоим на пороге новой реальности, где residential proxy сети превратились из инструмента для фрода в полноценное оружие для латерального перемещения внутри корпоративных сетей. Исследователи из Spur обнаружили, что прокси-сети позволяют атакующим не просто анонимизировать трафик, но и получать прямой доступ к локальным сетям через скомпрометированные устройства. А ботнеты класса Mirai, такие как Aisuru, переквалифицировались из DDoS-машин в коммерческие прокси-сервисы, предоставляя доступ к сотням тысяч заражённых роутеров и камер по всему миру.
Таймлайн событий и контекст 2026 года
Эта кампания разворачивалась на фоне тектонических сдвигов в индустрии residential proxy. Всего за несколько недель до атаки на Citrix произошли события, которые изменили ландшафт угроз.
28 января 2026 года Google по решению суда закрыл крупнейшую прокси-сеть IPIDEA, насчитывающую более 9 миллионов Android-устройств. Всего за день до этого, 27 января, компания CatProxies запустила новую residential proxy сеть с пулом более 10 миллионов реальных IP-адресов, обновляемых ежедневно. А с сентября 2025 по февраль 2026 года ботнеты Aisuru и Kimwolf проходили пик активности, достигая 1.8 миллионов заражённых устройств и перепрофилируясь в прокси-сервисы.
В этой статье разберём по костям, как работала эта двухрежимная разведка, почему residential proxy стали идеальным оружием, какую роль в этой экосистеме играют гигантские прокси-сети вроде IPIDEA и CatProxies, как ботнеты трансформируются в прокси-фермы, и главное - как не оказаться в списке жертв, когда начнётся следующая волна.
Residential proxy - новое слово в анонимности и скрытая угроза локальных сетей
Проблема репутационных списков и эволюция блокировокТрадиционные методы блокировки атакующих построены на простом принципе: если IP-адрес замечен в сканировании или атаках, его заносят в чёрный список. Дата-центровые IP от AWS, Google Cloud или DigitalOcean банятся пачками, потому что рано или поздно все они используются для сканирования. Но residential proxy сломали эту систему.
Residential proxy - это реальные IP-адреса реальных людей. Они принадлежат провайдерам, зарегистрированы на физические адреса и находятся в жилых домах. Когда запрос приходит с такого IP, он выглядит как обычный пользователь из Техаса, Лондона или Дели. Блокировать такие адреса - значит блокировать потенциальных клиентов, и ни один бизнес на это не пойдёт.
Как работает residential proxy: техническая архитектура и протоколы
Backconnect-архитектура позволяет направлять трафик через случайные домашние компьютеры по всему миру. Ты отправляешь запрос на прокси-сервис, а он выбирает один из миллионов реальных IP и отправляет запрос от его имени. Для целевого сервера это выглядит как заход реального пользователя.
Современные residential proxy сети поддерживают несколько протоколов. HTTP и HTTPS используются для веб-сканирования и совместимости с большинством инструментов. SOCKS5 применяется для более широкого спектра приложений, включая не-HTTP трафик. Backconnect API позволяет автоматизировать процесс и интегрировать прокси в скрипты.
Существует два основных типа архитектуры. Традиционные прокси требуют активного подключения к серверу провайдера, но в последнее время набирают популярность reverse connection прокси, когда клиентское устройство само устанавливает соединение с сервером управления, ожидая команд. Это особенно эффективно для обхода глубокой инспекции пакетов и файерволов.
Откуда берутся residential IP: от добровольцев до ботнетов
Источников много, и они разные. Часть IP поступает от добровольных участников, которые устанавливают расширения для браузеров вроде Hola или EarnApp, предоставляя свой трафик в обмен на бесплатный доступ или небольшое вознаграждение. Исследование NDSS 2026 года, анализировавшее 15 месяцев трафика EarnApp в объёме более 900 гигабайт данных через более чем 110 тысяч прокси-соединений, показало масштаб этих сетей.
Но гораздо большую долю составляют взломанные устройства. Исследователи из NCC-CSIRT сообщают, что ботнет Aisuru, ранее известный рекордными DDoS-атаками, полностью перепрофилировался. Вместо того чтобы класть сайты, операторы теперь сдают доступ к заражённым устройствам как residential proxy. На устройствах устанавливаются SOCKS и HTTP прокси, и любой желающий может арендовать трафик через реальные домашние IP.
Технические индикаторы таких ботнетов включают необычные исходящие соединения на прокси-портах 1080, 3128 и 8080, постоянные процессы на CPE-оборудовании, ротацию прокси-точек для избегания блокировок, а также использование тех же векторов заражения, что и Mirai, то есть дефолтные и слабые учётные данные, а также экспонированные админ-интерфейсы.
IoT-устройства - камеры, роутеры, принтеры, умные розетки - имеют слабую защиту, дефолтные пароли и идеально подходят для превращения в прокси-ноды. Исследование Spur выявило сотни тысяч residential IP, принадлежащих IoT-девайсам.
Методы монетизации: как операторы зарабатывают на прокси-сетях
Прокси-сети превратились в высокодоходный бизнес с разными моделями ценообразования. Самая распространённая модель - оплата за трафик, когда клиент платит от одного до трёх долларов за каждый гигабайт переданных данных. Существует также оплата за запросы, где стоимость составляет от десяти до пятидесяти центов за тысячу запросов. Для крупных клиентов доступна ежедневная аренда доступа к пулу по цене от ста до пятисот долларов в день. Наиболее опасная модель - ASN-таргетинг, когда за премиум-доступ к IP конкретного провайдера взимается дополнительная плата в размере от тридцати до пятидесяти процентов к базовой цене.
По данным исследователей, аренда residential proxy-сети на пять дней обходится в сумму от пятисот до двух тысяч долларов. При потенциальном выигрыше в миллионы долларов это капля в море.
Новая угроза: латеральное перемещение через residential proxy
Исследование Spur в январе 2026 года выявило критическую проблему: подавляющее большинство residential proxy сервисов по умолчанию разрешают доступ к локальным сетям. Это означает, что клиент прокси-сервиса может маршрутизировать трафик через скомпрометированное устройство, резолвить или таргетировать RFC1918 адресное пространство, включающее подсети 10.0.0.0/8 и 192.168.0.0/16, и получать прямой доступ к ресурсам в той же локальной сети, что и прокси-устройство.
Лишь небольшое количество провайдеров реализуют адекватные средства защиты. В большинстве случаев блокировка частных IP-диапазонов отсутствует, валидация на уровне прокси не производится, а фильтрация, если и присутствует, легко обходится через DNS-резолвинг.
Для SOC-команд это меняет всё. Многие архитектуры безопасности доверяют внутренним сетям по умолчанию. Residential proxy ломают это допущение. Если прокси-устройство находится внутри корпоративного офиса, сети энергокомпании или банка, атакующий может получить внутренний плацдарм без фишинга, доставки вредоносного ПО и без пересечения периметра.
ASN-таргетинг превращает это в масштабируемую угрозу
Большинство современных residential proxy сервисов позволяют выбирать выходные ноды по стране, городу, провайдеру или ASN. ASN-таргетинг особенно опасен. Атакующему не нужно знать конкретный IP-адрес жертвы. Достаточно идентифицировать ASN, связанный с целевой организацией, выбрать этот ASN в настройках прокси-сервиса, перебирать прокси-точки, пока не получишь доступ внутри нужной сети, и начать разведку и латеральное перемещение изнутри.
Исследователи Spur наблюдали сотни корпоративных ASN и ASN критической инфраструктуры, содержащих активные residential proxy устройства. Среди них было 318 энергетических компаний, 298 правительственных ASN, 166 медицинских учреждений и больниц, 141 банк и финансовая организация, а также 14 аэрокосмических компаний.
Эфемерная природа устройств усугубляет проблему
Аргумент о том, что эти устройства временны - ноутбуки, смартфоны, потребительское оборудование, перемещающееся между сетями, - только усугубляет проблему. Residential proxy сети крайне эфемерны, постоянно циркулируя через домашние сети, офисы, кафе и отели. Одна прокси-сеть может экспонировать миллионы IP в день и десятки миллионов за 90 дней.
С точки зрения SOC, это означает, что экспозиция непредсказуема, индикаторы быстро устаревают, а традиционные блок-листы бесполезны.
Хронология атаки - пять дней, которые потрясли GreyNoise
С 28 января по 2 февраля 2026 года система глобального наблюдения GreyNoise зафиксировала аномальную активность, которая по своим масштабам и скоординированности выделялась на фоне обычного сканирующего шума. Специалисты hrbrmstr и Orbie отслеживали скоординированную кампанию против Citrix ADC Gateway и Netscaler Gateway инфраструктуры .
Эта кампания не возникла на пустом месте. Она разворачивалась на фоне других значимых событий, которые сформировали ландшафт угроз для Citrix-инфраструктуры. В ноябре 2025 года Amazon через свою систему MadPot обнаружил сложную кампанию, в которой продвинутый угрозовой актор эксплуатировал критическую уязвимость в NetScaler ADC и Gateway, известную как CVE-2025-5777 или Citrix Bleed 2 . Этот же актор использовал уязвимость CVE-2025-20337 в Cisco ISE для развертывания кастомного вредоносного ПО, работающего полностью в памяти и маскирующегося под легитимный компонент IdentityAuditAction .
Ещё раньше, в июле 2025 года, исследователи watchTowr и Horizon3 опубликовали proof-of-concept эксплойты для CVE-2025-5777, продемонстрировав, как отправка некорректных POST-запросов к эндпоинту
Ссылка скрыта от гостей
позволяет извлекать около 127 байт памяти устройства с каждым запросом. Примечательно, что ещё до публикации этих эксплойтов, в середине июня 2025 года, исследователь Кевин Бомон зафиксировал активную эксплуатацию этой уязвимости в дикой природе, что привело к компрометации более 120 компаний и побудило CISA добавить CVE-2025-5777 в каталог активно эксплуатируемых уязвимостей .Ключевые даты и метрики кампании
28 января 2026 года: Начало первой волны
В этот день стартовала первая фаза операции - массовое сканирование login-панелей Citrix через residential proxy сеть. Злоумышленники начали обход интернета в поисках всех доступных извне страниц входа Citrix Gateway по пути /logon/LogonPoint/index.html . За несколько дней количество сессий достигло десятков тысяч. Инфраструктура этого этапа включала 63 189 уникальных residential proxy IP, распределённых по всему миру, и один мощный Azure-сканер с IP-адресом 52.139.3.76, расположенный в Канаде .
Каждый residential IP использовался ровно один раз, с уникальным браузерным fingerprint. Это классическая техника residential proxy rotation, которая делает невозможным отслеживание по частоте запросов с одного адреса и позволяет обходить географические блокировки и репутационные фильтры, поскольку запросы выглядят как легитимный трафик реальных пользователей из Вьетнама, Аргентины, Мексики, Алжира, Ирака и ещё дюжины других стран .
1 февраля 2026 года, полночь по UTC: Активация второго этапа
Ровно в полночь по Гринвичу активировался второй этап кампании: 10 AWS-инстансов в регионах us-west-1 и us-west-2 начали шестичасовой спринт по сбору версий . Это был чётко спланированный и ограниченный по времени манёвр.
Динамика этого спринта была следующей:
- 00:00 UTC: 192 сессии (начало активной фазы)
- 02:00 UTC: 362 запроса в час (пик активности)
- 05:00 UTC: 283 сессии (завершение активной фазы)
2 февраля 2026 года, 05:00 UTC: Завершение активной фазы
К этому времени операция была полностью завершена. Всего за пять дней было собрано 111 834 сессии, скомпрометированы данные о тысячах Citrix-инсталляций по всему миру. 79% всего трафика целенаправленно долбился по Citrix Gateway хонейпотам, что принципиально важно: этот показатель значительно выше базового сканирующего шума и указывает на преднамеренное картографирование инфраструктуры, а не оппортунистический обход.
3 февраля 2026 года: Публичное раскрытие
GreyNoise опубликовал детальный отчёт о кампании, сняв покровы с этой масштабной операции . BleepingComputer и Security Affairs практически мгновенно разнесли информацию по СМИ, привлекая внимание к угрозе.
Масштаб и значимость кампании
Почему эти цифры так важны? 79% трафика, целенаправленно бьющего по Citrix Gateway, - это не просто шум. GreyNoise прямо указал: эта разведывательная активность, вероятно, представляет собой картографирование инфраструктуры перед эксплуатацией . Специфическое нацеливание на путь к файлу настройки EPA предполагает интерес к разработке эксплойтов под конкретные версии или проверке уязвимостей против известных слабостей Citrix ADC .
Операторы явно собирали базу потенциальных жертв для будущей атаки. Как отметили в GreyNoise, стремительное начало и завершение версионного спринта указывают на то, что он мог быть активирован обнаружением уязвимых EPA-конфигураций или разведданными об окнах развёртывания . Эта кампания стала яркой демонстрацией того, как современные злоумышленники комбинируют различные типы инфраструктуры - residential proxy для скрытного обнаружения целей и мощные дата-центровые мощности для быстрого и точного сбора технических данных
Анатомия двухрежимной разведки
Атака, зафиксированная GreyNoise, представляла собой не сплошной шум, а четко спланированную двухэтапную операцию. Операторы разделили задачи: сначала найти цели (разведка), затем детально их изучить (рекогносцировка). Такое разделение труда позволило им использовать разные типы инфраструктуры, минимизировать риски и действовать с хирургической точностью.
Режим 1: Охота за логинами (Login Panel Discovery) - Прочесывание местности
Первый этап кампании был самым масштабным по охвату. Его целью было составить карту всех доступных из интернета панелей входа Citrix Gateway. В качестве оружия была выбрана армия residential proxy.Инфраструктура первого удара: гибрид чистоты и мощи
Для обхода репутационных фильтров и географических блокировок злоумышленники задействовали 63 189 уникальных IP-адресов . Эта цифра означает, что в течение нескольких дней было задействовано более 63 тысяч отдельных домашних устройств по всему миру. География этих IP охватывала residential-провайдеров Вьетнама, Аргентины, Мексики, Алжира, Ирака и еще дюжины других стран . Запрос с такого IP выглядит как обычный пользователь, который решил зайти на корпоративный портал из дома.
Однако полагаться только на residential-сети было бы медленно. Поэтому 36% всего трафика этого этапа (39 461 сессия) было направлено через один мощный дата-центровый IP в Канаде - 52.139.3.76, принадлежащий Microsoft Azure .
Техника: Классическая ротация с микро-фингерпринтингом
Почему это было так сложно обнаружить? Операторы использовали классическую технику residential proxy rotation, где каждый IP делает один запрос и больше не используется . Это делает бесполезным любой детект, основанный на частоте запросов с одного адреса. Но они пошли дальше. Каждый из 63 тысяч запросов имел уникальный браузерный fingerprint (цифровой отпечаток) - комбинацию User-Agent, разрешения экрана, установленных шрифтов и плагинов . Для SIEM это выглядит не как сканирование, а как десятки тысяч разных пользователей с разных устройств, заходящих на страницу логина.
Azure-компонент в этой схеме был «тяжелой артиллерией». Он использовал User-Agent Prometheus blackbox-exporter - легитимный инструмент для мониторинга доступности сайтов . Это маскировка под инженерные службы: мол, это не хакер, это админ проверяет, работает ли сайт.
Целью этого этапа был путь /logon/LogonPoint/index.html - стандартный эндпоинт страницы входа для большинства версий Citrix Gateway.
Режим 2: Охота за версиями (Version Hunting) - Снайперская рекогносцировка
Когда карта целей была готова, начался второй, гораздо более быстрый и технически сложный этап. В течение всего шести часов (с 00:00 до 05:00 UTC 2 февраля) операторы сканировали уже обнаруженные цели, чтобы понять их точную конфигурацию и версию.Инфраструктура второго удара: Чистые дата-центровые мощности
Для этой задачи residential proxy не годились - они медленные и ненадежные. Операторы задействовали 10 инстансов в AWS, расположенных в регионах us-west-1 и us-west-2 (Северная Калифорния и Орегон) . Это чистые, быстрые IP, идеально подходящие для короткого высокоинтенсивного спринта.
Техника: Старый браузер и точный тайминг
Все 10 машин использовали один и тот же User-Agent - Chrome 50, выпуск 2016 года . В 2026 году это вопиющая аномалия. Ни один реальный пользователь не заходит на современный корпоративный шлюз с браузера десятилетней давности. Это «сигнатура», по которой их можно было бы обнаружить, но скорость атаки была такова, что классические сигнатурные системы могли не успеть среагировать.
Динамика была выверена до часа:
- 00:00 UTC: 192 сессии (начало)
- 02:00 UTC: пик в 362 сессии
- 05:00 UTC: завершение, 283 сессии
Целью был путь /epa/scripts/win/nsepa_setup.exe. EPA (Endpoint Analysis) - это компонент Citrix Gateway, который проверяет безопасность устройства клиента перед подключением. Файл nsepa_setup.exe - это установщик, который содержит в себе метаданные о версии Citrix Gateway. Получив этот файл и проанализировав его, можно с высокой точностью определить версию установленного ПО.
Зачем это нужно хакерам? Это позволяет им не гадать, а бить точно в цель. Зная версию, они могут сверять её с базой известных уязвимостей (CVE) . В 2025-2026 годах для Citrix были опубликованы критические уязвимости, такие как CVE-2025-5777 (Citrix Bleed 2, кража сессионных токенов) и CVE-2025-7775 (RCE, удаленное выполнение кода) . Эксплойты для этих уязвимостей зависят от конкретных версий ПО. Этот шестичасовой спринт, скорее всего, был призван отделить «зерна от плевел» - найти те инсталляции, для которых у злоумышленников есть готовый рабочий эксплойт.
Почему это была одна операция? TCP-почерк
Хотя использовались разные сети (residential proxy, Azure, AWS), у всех трех потоков был общий почерк на уровне TCP-стека: идентичный порядок TCP-опций . Это железобетонное доказательство того, что за атакой стоял один инструментарий или один фреймворк, просто операторы грамотно разделили задачи по разным типам инфраструктуры.
TCP-криминалистика - что выдало общий почерк и как анализировать прокси
Когда аналитики GreyNoise смотрели на три потока трафика - распределённый по residential прокси, мощный Azure-сканер и компактные AWS-инстансы - картина складывалась странная. С одной стороны, инфраструктура была полностью разной. С другой - все три потока вели себя так, будто управлялись из одного оркестровой ямы. Ключом к разгадке стал самый низкий уровень сетевого взаимодействия - TCP.
TCP-опции как криминалистический индикатор
Каждое TCP-соединение начинается с рукопожатия, где клиент и сервер договариваются о параметрах передачи. Эти параметры передаются в TCP-опциях - дополнительных полях в заголовке пакета. И вот что важно: для конкретного инструментария (библиотеки, фреймворка, операционной системы) набор и порядок этих опций остаются стабильными, как отпечаток пальца .Ключевые параметры, которые анализируют криминалисты:
- MSS (Maximum Segment Size) - максимальный размер данных в одном пакете. Зависит от MTU сетевого пути.
- Window Scale - множитель для размера окна TCP, позволяющий передавать большие объёмы данных без подтверждения.
- SACK (Selective Acknowledgment) - механизм выборочного подтверждения полученных пакетов.
- Timestamps - временные метки для измерения RTT и защиты от старых пакетов.
- Порядок опций (Option Order) - последовательность, в которой перечислены опции в заголовке.
Анализ трёх потоков: что выдало каждого
Azure-сканер (52.139.3.76)Трафик от этого источника показывал уменьшенный MSS - на 62 байта ниже стандартного. Почему это важно? MSS по умолчанию обычно составляет 1460 байт (исходя из стандартного Ethernet MTU 1500). Уменьшение на 62 байта - это классический признак VPN или туннельной инкапсуляции. Оператор направлял сканирующий трафик через дополнительный сетевой уровень, демонстрируя высокий уровень операционной безопасности . Это как отправить письмо не напрямую, а через подставной адрес - даже если письмо перехватят, обратный путь будет запутан.
Residential proxy трафик
Распределённый трафик от 63 тысяч домашних IP показывал характеристики Windows TCP-стека - максимальный размер окна 16 бит, что типично для Windows-систем . Но при этом трафик маршрутизировался через Linux-прокси. Это говорит о том, что Windows-клиенты (реальные заражённые устройства) использовались через Linux-прокси инфраструктуру, что характерно для коммерческих прокси-сетей . Типичная архитектура таких сетей: на устройстве жертвы стоит клиент (часто под Windows), который соединяется с прокси-сервером (обычно на Linux), а уже через него идёт трафик заказчика .
AWS-сканеры (10 инстансов)
Версионные сканеры показывали значения jumbo frame MSS - в 45 раз больше, чем позволяет стандартный Ethernet . На потребительских сетях с MTU 1500 байт это физически невозможно. Такая конфигурация требует дата-центрового оборудования с поддержкой MTU 9000+ байт . Это подтверждает, что для версионного спринта использовались исключительно дата-центровые мощности, где можно гнать трафик с максимальной эффективностью без оглядки на «домашние» ограничения.
Инструмент gait для глубокого анализа прокси
Для выявления таких аномалий существует специализированное расширение Zeek - gait. Оно собирает метаданные для профилирования конечных точек и прокси, добавляя информацию к логам conn, ssl и ssh.Gait собирает два основных типа метаданных:
- Атрибуты - такие как TCP-опции по умолчанию, помогающие идентифицировать софт на конечных точках и промежуточных узлах .
- Данные о времени - включая RTT (round trip time) для TCP, TLS и SSH .
- L3 прокси (VPN) - характерен меньший чем по умолчанию MSS (из-за туннельной инкапсуляции) и более высокий чем ожидалось TCP RTT (из-за дополнительного сетевого узла).
- L4 прокси (SOCKS, Tor) - наблюдается несоответствие между fingerprint стека операционной системы выходной ноды и TLS/HTTP fingerprint браузера, при этом TCP RTT остаётся нормальным, а TLS RTT оказывается выше ожидаемого.
- L7 прокси (HTTP Proxy, AitM фреймворки) - отмечается несоответствие между fingerprint стека/TLS и HTTP fingerprint, при этом TCP и TLS RTT остаются нормальными, а HTTP RTT становится выше ожидаемого.
JA4T - эволюция TCP-криминалистики
Помимо gait, существует более современный инструмент - JA4T от FoxIO . Он специально разработан для логирования вместе с каждой сессией и выявления необычных сетевых условий. JA4T анализирует те же параметры, что и классические инструменты, но в стандартизированном формате, пригодном для машинного анализа и обмена между разными системами.Ключевые возможности JA4T:
- Идентификация операционной системы клиента на основе комбинации window size, опций и window scale
- Выявление изменений MSS, характерных для мобильных операторов (каждый оператор устанавливает свой MSS для учёта накладных расходов своей сети)
- Детекция VPN и прокси - когда устройство подключается через VPN, MSS и иногда Window Size меняются в зависимости от накладных расходов туннеля и используемых шифров
- Обнаружение полной смены отпечатка при подключении через прокси - на стороне сервера виден fingerprint прокси, а не клиента (пример с iCloud Relay от Apple)
Почему одинаковые fingerprint через 63 тысячи IP - это криминалистический нонсенс
В реальном мире residential proxy должны показывать высокое разнообразие отпечатков - разные ОС, разные версии, разные сетевые стеки . Если же 63 тысячи IP демонстрируют идентичный fingerprint, это означает, что за ними стоит либо одна прокси-инфраструктура, подменяющая отпечатки, либо, что более вероятно, все эти IP ведут на один и тот же инструментарий сканирования .В случае с Citrix-кампанией все три потока имели одинаковый порядок TCP-опций - и это стало тем самым «общим почерком», который позволил GreyNoise объединить разрозненные активности в одну кампанию. Вывод однозначен: операторы использовали разные типы инфраструктуры для разных задач, но управляли всем из одного центра с использованием общего фреймворка .
Как это применять на практике
Для SOC-аналитика это означает, что TCP-криминалистика должна стать частью повседневной рутины. Инструменты вроде gait и JA4T позволяют:- Выявлять аномалии ещё до того, как хакер начнёт активные действия
- Группировать разрозненные атаки по общему почерку
- Отличать реальных пользователей от ботов даже при идеальной маскировке на прикладном уровне
- Блокировать целые классы угроз на основе сетевых характеристик, а не только IP-адресов
Почему именно Citrix? Связь с уязвимостями и эволюция угроз
Охота за EPA-файлами - не случайность. Citrix ADC и NetScaler Gateway последние пару лет представляют собой золотую жилу для хакеров.Критические уязвимости 2025-2026 годов
CVE-2025-5777, получившая название Citrix Bleed 2, представляет собой критическую уязвимость с CVSS 9.3. Она позволяет неаутентифицированным атакующим красть сессионные cookie, подобно прошлому критическому эксплойту. Проблема заключается в недостаточной валидации ввода, приводящей к memory overread. Уязвимость затрагивает NetScaler, настроенный как Gateway, то есть VPN-сервер, ICA Proxy, CVPN, RDP Proxy, или AAA-виртуальный сервер.
Как работает эксплуатация? Атакующий отправляет некорректные запросы на вход, заставляя NetScaler отображать 127 байт произвольной памяти. Повторяя HTTP-запросы, атакующий может извлечь легитимные сессионные токены пользователей.
Версионное воздействие охватывает NetScaler ADC 12.1-FIPS до версии 12.1-55.328-FIPS, NetScaler ADC и Gateway 14.1 до версии 14.1-43.56, NetScaler ADC и Gateway 13.1 до версии 13.1-58.32, а также NetScaler ADC 13.1-FIPS и NDcPP до версий 13.1-37.235-FIPS и NDcPP.
Кевин Бомон, известный исследователь, отметил, что уязвимость, где простой HTTP-запрос дампил память, раскрывая сессионные токены, вернулась. Поиски Бомона в Shodan обнаружили более 56 500 экспонированных NetScaler ADC и Gateway эндпоинтов, хотя неясно, сколько из них уязвимы.
CVE-2025-5349 представляет собой вторую критическую уязвимость, затрагивающую интерфейс управления NetScaler. Проблема в неправильном контроле доступа, эксплуатация возможна при доступе к NSIP, Cluster IP или Local GSLB IP.
CVE-2025-7775 и CVE-2025-5775 - ещё две критические уязвимости, одна из которых представляет собой RCE, удалённое выполнение кода, активно использовавшаяся как zero-day.
Арест хакера и геополитический контекст
В июле 2025 года итальянская полиция арестовала 33-летнего гражданина Китая Сюй Цзэвэя по ордеру США. Его обвиняют в промышленном шпионаже в пользу китайского правительства. По данным США, Сюй связан с угрозовым актором Silk Typhoon, также известным как Hafnium, который нацелен на широкий спектр секторов по всему миру. Группа получила известность в 2020 году за фокус на организациях, проводящих COVID-19 исследования, а позднее скомпрометировала OFAC и CFIUS.
Связь с атакой
Targeting EPA setup file - это прямой путь к определению версии и пониманию, какие эксплойты сработают. Получив информацию о версии, атакующий может сопоставить её с базой известных уязвимостей и выбрать нужный эксплойт.
Скорее всего, операторы собирали базу потенциальных жертв для будущей атаки. 79% трафика, прицельно бьющего по Citrix Gateway, исключают теорию случайного сканирования.
Гигантские прокси-сети 2026 - IPIDEA, CatProxies и новая индустрия
Чтобы понять, как 63 тысячи residential proxy долбили по твоим Citrix-шлюзам, надо разобраться, откуда вообще берутся эти миллионы "чистых" домашних IP, кто их поставляет и сколько на этом зарабатывает. История с IPIDEA и CatProxies - это два полюса одной медали: закрытие старого гиганта и мгновенное появление нового, прямо под шумок начинающейся атаки.
Дело IPIDEA: 9 миллионов Android-устройств и судебный удар
28 января 2026 года Google по решению суда нанёс удар по крупнейшей residential proxy сети, управляемой китайской компанией IPIDEA . Масштаб того, что рухнуло, впечатляет даже видавших виды исследователей. Это была не просто сеть, а целая империя, встроенная в саму ткань мобильного интернета.
Масштаб империи:
Более 9 миллионов Android-устройств по всему миру в одночасье перестали быть послушными солдатами в чужой армии. Эти цифры подтверждались данными Lumen Black Lotus Labs, которые до отключения видели около 8.5 миллионов уникальных ботов, связывающихся с C2 IPIDEA ежедневно, и оценивали реальную популяцию в 10-11 миллионов устройств . SDK был внедрён в более чем 600 приложений - игры, утилиты, программы для повышения продуктивности, которые легально лежали в Google Play . На пике сеть обслуживала более 550 различных угрозовых групп из Китая, Северной Кореи, Ирана и России . Эти группы использовали чистые домашние IP для доступа к жертвам, проведения password spray атак и скрытия своих C2-серверов .
Как работала схема IPIDEA?
Техническая архитектура IPIDEA была продумана до мелочей и состояла из двух уровней. Устройства, заражённые SDK, сначала контактировали с так называемыми "серверами первого уровня" (tier one), получая от них конфигурацию и список актуальных "серверов второго уровня" (tier two), которых насчитывалось около 7400 . Количество этих серверов постоянно менялось в зависимости от спроса. Именно через эти "серверы второго уровня" и маршрутизировался весь прокси-трафик клиентов, что позволяло операторам масштабировать сеть и делать её устойчивой к блокировкам .
Но ключевым звеном были не серверы, а софт. IPIDEA предлагала разработчикам SDK для Android, iOS, Windows и даже LG webOS как способ монетизации их приложений . Разработчикам платили за каждый загруженный экземпляр приложения с интегрированным SDK, а пользователи, скачивая условно-бесплатную игру или VPN-клиент, даже не подозревали, что становятся частью глобальной прокси-фермы . IPIDEA маскировала свою деятельность под десятком, а то и больше, "независимых" брендов: 922 Proxy, 360 Proxy, Luna Proxy, Galleon VPN, Radish VPN, PIA S5 Proxy и другие . Это создавало иллюзию конкуренции и выбора на рынке, хотя за всеми стояла одна инфраструктура.
Последствия и связь с ботнетами
Google в сотрудничестве с Cloudflare, Lumen и Spur провёл комплексную операцию. Они не просто заблокировали C2-домены, но и подали на них в суд, а также обновили политики Google Play Protect. Теперь на сертифицированных Android-устройствах Play Protect автоматически предупреждает пользователей и удаляет приложения, содержащие SDK IPIDEA, а также блокирует попытки их установки . Более 3075 Windows-хешей и 600 Android-приложений были добавлены в блок-листы .
Важнейший момент для нашей истории: расследование Google и Infosecurity Magazine прямо связало инфраструктуру IPIDEA с ботнетами Aisuru, Kimwolf и BadBox 2.0 . SDK IPIDEA использовались для рекрутинга устройств в эти сети, а сами прокси-сервисы затем применялись для сокрытия C2-трафика этих же ботнетов. Это был замкнутый круг: устройство заражалось через одно приложение, становилось частью прокси-сети, а затем через эту же сеть управлялись новые волны заражений.
CatProxies: новый игрок выходит на сцену
И вот тут начинается самое интересное для хронологии Citrix-атаки. 27 января 2026 года - всего за день до того, как GreyNoise зафиксировал начало массового сканирования, и за день до того, как Google объявил о закрытии IPIDEA - компания CatProxies из Румынии объявила о запуске своей новой глобальной residential proxy сети . Время выбрано идеально: рынок содрогнулся, одного гиганта не стало, и освободившееся место нужно было занять.
Характеристики CatProxies, которые впечатляют:
Пул более 10 миллионов реальных IP-адресов, которые обновляются ежедневно . Это не статичный список, а живая, дышащая сеть. Поддержка HTTP и SOCKS5 протоколов. Главная "фишка", критически важная для целевых атак - возможность таргетинга не только по стране и городу, но и по провайдеру (ISP) и даже по номеру автономной системы (ASN) . Помнишь ASN-таргетинг из первой части? Это он и есть - инструмент для снайперского выбора цели. CatProxies предлагает выбор между ротируемыми и статическими сессиями, а также возможность выбора конкретного шлюзового сервера . Цены начинаются от 2.50 долларов за гигабайт, оптовые тарифы снижают стоимость до 1 доллара за гигабайт . Для серьёзной разведывательной кампании, которая длилась 5 дней и сгенерировала чуть больше 100 тысяч сессий, это копейки. Заявленная стабильность соединения - 98.3% при средней задержке 87 миллисекунд .
Новая индустрия и академический прорыв NDSS 2026
Пока одни запускали новые сети, а другие их закрывали, академическое сообщество не дремало. В феврале 2026 года на симпозиуме NDSS было представлено исследование, которое перевернуло представление о том, как можно бороться с этой угрозой .
Исследователи из Qatar Computing Research Institute проанализировали 15 месяцев трафика легитимного прокси-сервиса EarnApp, который часто злоупотребляют для тех же целей. В их распоряжении было более 900 гигабайт данных и 110 000 прокси-соединений . Выводы оказались шокирующими, но дали надежду.
Главный вывод: традиционные методы детекции прокси на основе анализа RTT (Round-Trip Time, времени приёма-передачи пакетов) фундаментально уязвимы. Оказалось, что простые атаки на планирование трафика могут снизить recall детекции таких систем с 99% до всего 8% . То есть хакер, добавив немного случайных задержек, может сделать свой прокси-трафик невидимым для старых методов.
Чтобы решить эту проблему, исследователи разработали новую двухуровневую архитектуру под названием CorrTransform на основе трансформеров (той же технологии, что лежит в основе современных LLM) .
Как это работает:
- Лёгкий уровень: Использует инженерные фичи (характеристики трафика, не зависящие от времени) для быстрого и эффективного масштабного детекта. Позволяет провайдерам (ISP) идентифицировать устройства, участвующие в прокси-сетях, с точностью более 98%.
- Тяжёлый уровень: Глубокая нейросеть для высоконадёжной детекции в условиях активного противодействия. Этот уровень классифицирует отдельные соединения с точностью 99% в нормальных условиях и обеспечивает более 92% F1 score против самых сложных атак, включающих подстройку расписания отправки пакетов, добавление фиктивных данных (padding) и изменение формы пакетов (reshaping).
Ботнеты как источник прокси - Aisuru и Kimwolf
Эволюция Aisuru: от DDoS к прокси-сервисуБотнет Aisuru, относящийся к классу Mirai и TurboMirai, ранее был известен рекордными DDoS-атаками, превышавшими 1.5 терабита в секунду. В 2025-2026 годах операторы добавили модули для предоставления прокси-услуг на заражённых устройствах.
Технические характеристики Aisuru включают нацеленность на потребительские роутеры, IP-камеры, DVR и домашние шлюзы. Векторы заражения - дефолтные и слабые учётные данные, а также экспонированные админ-интерфейсы. Прокси-протоколы включают SOCKS и HTTP. Дополнительные возможности ботнета включают DDoS различных типов, включая UDP, TCP и GRE флуды, credential stuffing, AI-driven веб-скрапинг, спам и фишинг.
Пик активности пришёлся на сентябрь 2025 года, когда количество ботов, обращающихся к C2 серверам, выросло с 50 000 до 200 000 в день.
Kimwolf: Android-ботнет с 1.8 миллиона устройств
Kimwolf - новый Android-ботнет, обнаруженный в 2025 году, тесно связанный с Aisuru. Масштабы впечатляют: более 1.8 миллиона заражённых устройств, более 1.7 миллиарда DDoS-команд за трёхдневный период с 19 по 22 ноября 2025 года, более 2.7 миллиона IP-адресов взаимодействовали с C2 за три дня.
Технические особенности Kimwolf включают компиляцию с использованием NDK, Native Development Kit. Функционал охватывает DDoS, proxy forwarding, reverse shell и file management. Для шифрования чувствительных данных используется Stack XOR. Для сокрытия коммуникаций применяется DNS over TLS. Аутентификация C2-команд осуществляется через Elliptic Curve Digital Signature Algorithm. Устойчивость к блокировкам обеспечивается интеграцией EtherHiding для использования blockchain-доменов.
Именование ботнета следует паттерну "niggabox + v[число]", отслежены версии v4 и v5.
Lumen против Aisuru и Kimwolf
Lumen Black Lotus Labs провела масштабную операцию против этих ботнетов. За 4 месяца было заблокировано и подвергнуто null-routing более 550 C2-серверов. Идентифицированы канадские IP-адреса, использующие SSH для доступа к прокси-инфраструктуре. Обнаружена связь с доменом
Ссылка скрыта от гостей
.Операторы отвечали агрессией - в одном из DDoS-пэйлоадов были найдены нецензурные выражения в адрес Lumen, что подтверждает эффективность блокировок.
Детект - как выкурить невидимку
Residential proxy сложно детектить, но можно. GreyNoise и другие исследователи дали чёткие индикаторы.User Agent мониторинг
Blackbox-exporter User-Agent представляет собой аномалию, если он лезет в твои логины, а не занимается мониторингом. Обычно этот инструмент используется администраторами для проверки доступности сайтов, но в руках хакера он становится разведывательным инструментом.
Chrome 50 в 2026 году - браузер десятилетней давности. Почти всегда это скрипт или бот, поскольку ни один реальный пользователь не пользуется такой древней версией.
Поведенческий анализ и поведенческая классификация
DataDome ProxyDetect использует машинное обучение для оценки паттернов запросов с конкретных IP, выявляя несоответствия геолокации с часовым поясом или языком.
Ключевые индикаторы неестественного поведения включают несколько параметров.
Неестественное движение мыши проявляется в линейных, дёрганых или чрезмерно плавных траекториях курсора, генерируемых скриптами, которые отклоняются от человеческой биомеханики.
Равномерная скорость набора выдаёт бота, поскольку человеческие нажатия клавиш варьируются по времени и включают естественные паузы или исправления.
Низкая или нулевая энтропия в скроллинге проявляется в том, что боты скроллят с фиксированными интервалами или идеально прямыми линиями, в отличие от людей, которые скроллят рывками или с переменной скоростью.
Отсутствие человеческих задержек заметно, когда боты заполняют формы и кликают с машинной точностью и скоростью, без задержек и исследовательских паттернов.
Аномальные паттерны заполнения полей включают заполнение полей формы не по порядку или пропуск подсказок валидации.
Отсутствие микро-взаимодействий проявляется в том, что человеческие сессии обычно включают изменение размера окна, переключение вкладок или потерю фокуса, чего у ботов часто нет.
Поведенческий скоринг и прогрессивная фрикция
DataDome рекомендует присваивать риски на основе энтропии взаимодействия, таймингов и навигационных паттернов. Затем вводить прогрессивную фрикцию: CAPTCHA, OTP по email, биометрию, замедление сессии - динамически, на основе уровня подозрительности.
Специализированные инструменты детекции
Zeek Extension "gait" собирает метаданные для профилирования конечных точек и прокси, анализируя TCP-опции и тайминги.
Академический подход CorrTransform
Исследование NDSS 2026 предлагает двухуровневый подход. Лёгкий уровень использует инженерные фичи для эффективного масштабного детекта. Тяжёлый уровень применяет глубокую нейросеть на архитектуре трансформеров для высоконадёжной детекции в условиях активного противодействия. Метод обеспечивает более 92% F1 score против сложных атак, включая подстройку расписания, padding и модификацию пакетов.
Индикаторы из кампании GreyNoise
HEAD-запросы к Citrix Gateway нехарактерны для пользователей, но характерны для сканеров. Резкий всплеск запросов к /logon/LogonPoint/ - если десятки IP долбят по одному пути, это разведка. Быстрая смена IP с уникальными fingerprint характерна для residential proxy rotation. Аномальная география - если к тебе стучится IP из Ирака, Алжира или Вьетнама, а у тебя там нет клиентов, это повод насторожиться.
Что делать, чтобы не попасть в список жертв
Практические шаги, которые снижают риск оказаться на прицеле.Минимизация exposure
Не тащи Citrix-шлюзы в интернет без крайней нужды. GreyNoise прямо рекомендует пересмотреть необходимость публичного доступа. Используй VPN для админов, ограничь доступ по IP-адресам trusted networks.
Закрытие EPA-пути
Ограничь доступ к директории /epa/scripts/. Поставь на неё хотя бы базовую аутентификацию. GreyNoise указывает на необходимость аутентификации для доступа к этой директории как на ключевую защитную меру.
Скрытие версии
Настрой Citrix так, чтобы он не светил версию в HTTP-ответах. Это затруднит подбор эксплойтов под конкретную версию.
Мониторинг residential трафика
Если видишь подозрительную активность из регионов, где у тебя нет бизнеса, блокируй без сожаления. Вьетнам, Аргентина, Мексика, Алжир, Ирак - именно оттуда шла основная волна.
Сбор fingerprint
Логируй не только IP, но и User-Agent, порядок TCP-опций, MTU. По ним можно вычислить общую инфраструктуру атакующих. Инструменты типа gait от Zeek помогают собирать такие метаданные.
Поведенческий анализ
Внедри системы, которые оценивают поведенческие аномалии. DataDome рекомендует присваивать риски на основе энтропии взаимодействия и проходить прогрессивную фрикцию.
Мониторинг CPE и IoT
NCC-CSIRT рекомендует мониторить CPE на необычные исходящие соединения и активность на прокси-портах 1080, 3128 и 8080. Необходимо выявлять аномальный high-volume аплинк трафик и избыточные конкурентные сессии. Следует использовать threat intelligence для идентификации индикаторов Aisuru и других прокси-ботнетов. Важно блокировать или троттлить соединения с известными C2 и прокси-доменами. Также необходимо проталкивать обновления прошивок и консультировать клиентов по защите уязвимых IoT-устройств.
Патчи
Установи все актуальные патчи для Citrix. DIVD CSIRT с июня по август 2025 года трижды сканировал серверы и рассылал уведомления о необходимости обновлений. После обновления всех NetScaler устройств Citrix рекомендует выполнить команды для завершения всех активных ICA и PCoIP сессий для полной митигации риска.
Управление внутренними сетями
Spur рекомендует не доверять внутренним сетям по умолчанию. Residential IP могут быть внутренними, а прокси-трафик может представлять латеральное перемещение, а не внешнее проникновение. Необходимо мониторить известные residential proxy индикаторы внутри корпоративных ASN. Следует рассматривать неожиданный прокси-трафик как потенциальный внутренний плацдарм. Важно сегментировать BYOD устройства и отделять их от корпоративных ресурсов. Рекомендуется удалять приложения, игры и дешёвые Android TV, содержащие residential proxy SDK, из домашних сетей. Необходимо запрещать корпоративным устройствам устанавливать непроверенные браузерные расширения и приложения. И самое главное - избегать неаутентифицированных внутренних сервисов везде, где возможно.
Внедрение CorrTransform и продвинутых методов детекции
Для организаций с высокими требованиями к безопасности исследователи NDSS рекомендуют развернуть сбор TCP-метаданных на границе сети, внедрить лёгкий уровень детекции на основе инженерных фич для первичной фильтрации, использовать CorrTransform для глубокого анализа подозрительных соединений и интегрировать результаты в SIEM для автоматического реагирования.
Индикаторы компрометации и долгосрочные выводы
IP-адреса версионных сканеров в AWSВ ходе кампании были зафиксированы следующие IP-адреса, использовавшиеся для сбора версий: 44.251.121.190, 13.57.253.3, 50.18.232.85, 52.36.139.223, 54.201.20.56, 54.153.0.164, 54.176.178.13, 18.237.26.188, 54.219.42.163 и 18.246.164.162.
Основной IP сканера логинов в Azure
Главный сканер логинов располагался по адресу 52.139.3.76.
GreyNoise Tags
Система GreyNoise присвоила этой активности теги высокой уверенности в сканировании Citrix Gateway и активности residential proxy.
Индикаторы Aisuru
Для обнаружения ботнета Aisuru следует обращать внимание на необычные исходящие соединения на прокси-портах 1080, 3128 и 8080, постоянные процессы на CPE-оборудовании, аномальный high-volume трафик и соединения с известными C2-доменами Aisuru.
Индикаторы IPIDEA
Признаками присутствия IPIDEA являются SDK библиотеки, блокируемые Google Play Protect, устройства с приложениями из сторонних источников, а также домены
Ссылка скрыта от гостей
,
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
.Индикаторы Kimwolf
Для обнаружения Kimwolf характерны Android-устройства с необычными прокси-процессами, DNS over TLS трафик на нестандартные резолверы и EtherHiding коммуникации через blockchain-домены.
Заключение
Эта кампания - не последняя. Residential proxy стали идеальным инструментом для скрытного сбора информации. Они обходят географические блокировки, репутационные фильтры и системы обнаружения ботов.Новая реальность после 2026 года
Февраль 2026 года стал поворотным моментом. Закрытие IPIDEA показало, что даже крупнейшие сети можно остановить, но CatProxies и другие продолжают расти. Aisuru и Kimwolf продемонстрировали, что ботнеты переходят на бизнес-модель прокси-сервисов, делая угрозу персистентной и коммерчески устойчивой.
Академический прорыв
Исследование NDSS 2026 предлагает новое оружие против прокси-угроз - CorrTransform, устойчивый к современным методам обхода. Это переводит детекцию от уязвимых временных методов к устойчивому архитектурному фингерпринтингу.
Главный вывод
Residential proxy сети эволюционировали за пределы проблемы фрода. Теперь они представляют структурный риск безопасности, стирающий границу между внешними и внутренними угрозами. Не то чтобы каждая прокси-точка означала компрометацию, но поверхность атаки теперь существует там, где многие команды не ищут.
GreyNoise подводит черту: организации, использующие интернет-инфраструктуру Citrix, должны рассматривать эту активность как сигнал перед атакой. 79% нацеливания - это не просто шум. Кто-то почти наверняка собирает список целей.
Единственный способ противостоять - самому стать охотником. Мониторить аномалии, анализировать поведение, не надеяться на статические списки. Инструменты вроде gait для сбора TCP-метаданных, поведенческий анализ DataDome, географическая фильтрация, мониторинг внутренних ASN на наличие прокси-устройств, академические методы вроде CorrTransform - всё это должно работать в связке.
Твоя задача - заметить следы до того, как начнётся основная атака. Потому что когда хакеры уже знают твою версию, сидят внутри твоей сети через скомпрометированный роутер и готовят под неё эксплойт, поздно пить боржоми. Residential proxy стёрли грань между внешним и внутренним. Входящий трафик из домашнего IP вьетнамского провайдера может быть латеральным перемещением из соседней VLAN. Архитектура безопасности, доверяющая внутренним сетям, больше не работает.
