6月中旬Citrix针对NetScaler ADC、NetScaler Gateway修补重大层级的资安漏洞CVE-2025-5777，此漏洞4.0版CVSS风险达到9.3分，后续资安研究人员Kevin Beaumont提出警告，该漏洞本质上与2年前造成大规模灾情的Citrix Bleed（CVE-2023–4966）雷同，非常危险，并命名为「CitrixBleed 2」，6月底资安业者ReliaQuest首度发现疑似遭到利用的迹象，但遭到Citrix否认，直到7月10日美国网路安全暨基础设施安全局（CISA）将此漏洞列入已遭利用漏洞名单（KEV），并罕见地要求联邦机构隔天就完成修补，该公司才更新部落格内容，承认该漏洞已遭到利用，但究竟受害範围有多广？最近有资安业者、研究人员相继公布调查结果。

最早揭露威胁态势的是资安业者Imperva，他们在7月11日指出，在Citrix公布CitrixBleed 2之后，相关攻击活动便不断增加，他们看到超过1,150万次试图攻击的迹象，约有4成锁定金融产业，但也有针对娱乐、医疗保健、IT、旅游业等领域的情况。从国家及地区的部分来看，约有6成发生在美国，但有1成出现在西班牙、6%在日本，这3个国家灾情占总数约四分之三。

Kevin Beaumont于14日发布部落格文章表示，他怀疑至少有一组中国骇客从事漏洞利用活动，根据骇客使用的方法与存取时间，在11日已有128个受害企业及组织，涵盖科技、法律、教育、金融服务、政府、电信等领域。这些骇客约从6月20日试图寻找下手目标，而且在挑选目标的时候相当谨慎，并未误入Kevin Beaumont的蜜罐陷阱。由于相关活动非常隐密，Kevin Beaumont推测，大部分受害的企业组织不会察觉已遭到攻击。

除了中国骇客，俄罗斯勒索软件骇客也有试图利用的情况，该组织自6月开始，藉由CitrixBleed 2取得受害组织的初始入侵管道，其中一个受害组织是医疗照护机构。

威胁情报业者GreyNoise也公布调查结果，指出他们在6月23日首度观察到漏洞利用活动，截至7月16日，有24个IP位址从事相关攻击。我们实际透过该公司的威胁情报平台进行搜寻，目前IP位址增加到27个，它们分布在中国、美国、俄罗斯、韩国等10个国家，锁定美国、德国、法国、义大利、澳洲等国发动攻击。