Relatório de telemetria aponta para uma campanha coordenada que gerou mais de 2,5 milhões de requisições maliciosas contra servidores Adobe ColdFusion e outras 47 plataformas tecnológicas durante o período do Natal de 2025.
Descoberta e escopo
Analistas da GreyNoise Labs (cobertos por veículos de segurança) documentaram uma operação que varreu centenas de CVEs e alvos distintos. A fase focada em ColdFusion contabilizou aproximadamente 5.940 requisições a servidores ColdFusion em 20 países, representando cerca de 0,2% do tráfego total da campanha. O pico de atividade ocorreu no dia de Natal, que respondeu por 68% do tráfego observado.
Vetor e infraestrutura
O ator de ameaça operou a partir de infraestrutura hospedada em endereços IP associados à CTG Server Limited — com principais fontes apontadas como 134.122.136.119 e 134.122.136.96 — e utilizou quase 10.000 domínios OAST (out‑of‑band) para verificação de callbacks via ProjectDiscovery Interactsh. A campanha explorou, na fase ColdFusion, vulnerabilidades relacionadas a desserialização WDDX que disparam injeção JNDI/LDAP, visando o gadget chain com.sun.rowset.JdbcRowSetImpl.
Alvos e vulnerabilidades
A investigação revelou reconhecimento sistemático contra 767 CVEs distintos, abrangendo servidores Java, frameworks web, CMS e aplicações empresariais. Entre as vulnerabilidades mais atacadas estão CVE‑2022‑26134 (Confluence OGNL injection) e CVE‑2014‑6271 (Shellshock), com milhares de requisições identificadas contra essas falhas.
Evidências e indicadores
Fingerprinting de rede identificou mais de 4.118 assinaturas JA4H HTTP, sugerindo uso de scanners baseados em templates, como Nuclei. Observadores recomendam bloquear os IPs e ASNs indicados e aplicar assinaturas para os fingerprints JA4+ publicados para reduzir exposição.
Impacto e contexto operativo
Embora a parcela ColdFusion represente uma fração do tráfego total, a campanha destaca um padrão de reconhecimento amplo por atores que sondam alvos com histórico de vulnerabilidades — incluindo falhas antigas e posteriores — buscando pontos de entrada aproveitáveis durante períodos com equipes reduzidas (feriado).
Recomendações imediatas
- Bloquear os endereços IP e ASNs identificados;
- Implementar assinaturas de IDS/IPS baseadas nas assinaturas JA4H/JA4+ publicadas;
- Priorizar correções e hardening de instâncias ColdFusion e outros servidores Java expostos;
- Reforçar monitoramento durante janelas sazonais e feriados.
O que ainda não foi divulgado
As fontes públicas não atribuem com convicção final a autoria além das observações sobre a infraestrutura, nem indicam exploração de zero‑days em massa; o material disponível concentra‑se em telemetria e recomendações defensivas.