{ "@context": "https://schema.org", "@type": "NewsArticle", "headline": "Hackers misbruiken VPN-portals van Palo Alto en SonicWall", "description": "Het artikel bespreekt langdurige, gecoördineerde aanvallen op VPN-portals van Palo Alto en SonicWall door dezelfde hackers met wisselende infrastructuur.", "articleBody": "GreyNoise-onderzoekers hebben een langdurige aanvalscampagne ontdekt gericht op VPN-systemen van Palo Alto Networks en SonicWall. Deze aanvallen zijn gecoördineerd en maken gebruik van dezelfde tools over een periode van maanden, met wisselende infrastructuur. De campagne kreeg aandacht nadat GreyNoise op 2 december een piek zag van meer dan zevenduizend IP-adressen die probeerden in te loggen op Palo Alto GlobalProtect-portals. Dit verkeer kwam van het Duitse IT-bedrijf 3xK GmbH, dat als hostingprovider opereert met een eigen autonoom systeem. Volgens BleepingComputer biedt dit bedrijf diensten aan via ASN AS200373. Hoewel de piek kortstondig was, blijkt uit analyse dat het deel uitmaakt van een bredere aanvalsgolf. GreyNoise ontdekte dat dezelfde aanvalssignaturen al eerder opdoken tussen eind september en half oktober, met miljoenen loginpogingen tegen GlobalProtect-omgevingen. In die periode werden meer dan negen miljoen niet-gespoofte HTTP-sessies geregistreerd, voornamelijk van netwerken zonder bekende reputatie voor kwaadwillend verkeer. Deze koppeling is gebaseerd op client fingerprints, technische kenmerken van netwerkverkeer die specifieke aanvalstools herkenbaar maken. GreyNoise constateerde dat dezelfde drie fingerprints zowel in het najaar als in december opnieuw opdoken, ondanks het gebruik van andere infrastructuur, wat wijst op dezelfde actieve actor die bewust van hostingomgeving wisselt. BleepingComputer meldt dat GreyNoise medio november al extra activiteit zag vanaf 3xK-infrastructuur, met ongeveer 2,3 miljoen scansessies gericht op GlobalProtect-portals. Ongeveer 62 procent van de gebruikte IP-adressen was toen in Duitsland gelokaliseerd. Ook in die fase werden identieke TCP- en JA4T-fingerprints vastgesteld, wat de attributie aan één partij verder versterkt. Een dag na de hernieuwde GlobalProtect-activiteit, op 3 december, richtte de aandacht zich op SonicWall-omgevingen. GreyNoise zag scans gericht op SonicOS API-endpoints, opnieuw met dezelfde fingerprints. SonicOS is het besturingssysteem van SonicWall-firewalls en biedt beheertoegang via API’s voor configuratie en monitoring. Zulke scans worden vaak gebruikt om kwetsbaarheden, configuratiefouten of potentiële aanvalspunten te identificeren. Palo Alto Networks bevestigt dat er verhoogde scan- en inlogactiviteit richting GlobalProtect-interfaces is waargenomen. Het bedrijf stelt dat het gaat om aanvallen gebaseerd op inloggegevens en niet om misbruik van een softwarekwetsbaarheid. Volgens Palo Alto Networks is er op basis van interne telemetry geen sprake van een compromis van producten of diensten, aldus BleepingComputer.", "datePublished": "2025-12-08T12:00:23.000Z", "dateModified": "2025-12-08T00:00:00.000Z", "mainEntityOfPage": { "@type": "WebPage", "@id": "/nieuws/nieuwsfeed/item/hackers-misbruiken-vpn-portals-van-palo-alto-en-sonicwall/r/recATxHcjL2oM2JtT" }, "isBasedOn": { "@type": "CreativeWork", "@id": "https://www.techzine.nl/nieuws/security/572898/hackers-misbruiken-vpn-inlogportals-van-palo-alto-en-sonicwall/" }, "publisher": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "author": { "@type": "Organization", "name": "IBgidsNL", "url": "https://ibgids.nl" }, "image": "https://v5.airtableusercontent.com/v3/u/48/48/1765209600000/fS8G49AvxL51vFfaD6iobQ/QxOgDqeOumDxRI4uQQdlKSrurmigtR1GPw-cdM5-zE7xWw9tEJfQDY4UYGH9FQcSxWPRL1usbww6P2XW7io12tpEfyoK4Z6PBZxOOJ489YI--E-VG2MvMhI1rlBRxN4RO0b8gOC0Wj8v7eelWa1S8A/pEHQVEa2Lhk85bRsDU2roBnFOJVBnlmx5k6-6nFuXyw" }