骇客锁定企业的SSL VPN系统下手，企图藉此取得初期入侵的管道，这样的现象不时传出，如今有研究人员发现针对特定厂牌系统的大规模攻击活动，呼吁用户要採取相关措施因应。

3月底威胁情报业者GreyNoise提出警告，他们观察到针对Palo Alto Networks的GlobalProtect入口网站新一波的扫描登入活动，最近1个月有近2.4万（23,958）个来源IP位址尝试存取这些SSL VPN系统。针对这样的情况，Palo Alto Networks表示他们已掌握GreyNoise部落格揭露的内容，将积极监控相关情势、确认可能会造成的影响，并评估是否需要採取缓解措施。

这波攻击从3月17日出现，持续至26日，大部分的攻击来自美国及加拿大，分别有16,249及5,823个IP位址，但也有来自芬兰、荷兰、俄罗斯的攻击。而对于攻击者主要下手的标的，主要是位于美国的GlobalProtect主机，但英国、爱尔兰、俄罗斯、新加坡也出现相关攻击。

GreyNoise指出，在这段期间，他们也发现锁定该厂牌防火墙作业系统PAN-OS的攻击行动，其中针对PAN-OS Crawler的活动于3月26日达到高峰，当时有2,580个IP位址发动攻击。对此，GreyNoise呼吁Palo Alto Networks用户，应儘速检视3月份的事件记录内容，并执行详细的调查，进一步釐清是否有遭到入侵的迹象。

有鉴于骇客专门锁定Palo Alto Networks的资安系统而来，GreyNoise认为这样的现象与去年4月思科揭露的攻击行动ArcaneDoor有共通之处，当时骇客组织UAT4356（Storm-1849）专门针对思科的ASA防火墙设备而来，专门针对思科的ASA防火墙设备而来，从而在受害组织的网路环境植入后门程序。由于这波攻击针对GlobalProtect入口网站而来，也很难不让人联想近期该公司修补的PAN-OS资安漏洞CVE-2024-0012、CVE-2025-0108、CVE-2025-0109、CVE-2025-0111，都是出现于网页管理介面，且有部分被用于实际攻击行动。