Pesquisadores identificaram um forte aumento em varreduras contra interfaces de gerenciamento de firewalls SonicWall, levantando preocupação sobre uma possível fase de reconhecimento antes da divulgação ou exploração de novas falhas.
A atividade foi observada entre 9 e 18 de maio de 2026 e teve seu maior pico em 12 de maio, quando cerca de 597 mil sessões foram registradas em um único dia.
O volume representa aumento de aproximadamente 46 vezes em relação à média diária dos 30 dias anteriores. As conexões miravam APIs de gerenciamento do SonicOS expostas na internet.
Segundo a análise, o padrão foi o maior já registrado em 90 dias para esse tipo de tráfego, indicando uma operação coordenada de varredura em larga escala.
A análise do tráfego indica uso consistente de ferramentas e infraestrutura. Quase todas as requisições usavam um user-agent Chrome 119 em Linux x86_64, enquanto a maior parte das sessões partia de redes na Holanda e na Ucrânia.
Os serviços mais visados foram as portas 80 e 8080, associadas a interfaces web de gerenciamento.
A concentração em um único sistema autônomo também sugere uso de infraestrutura organizada, não apenas sondagens aleatórias na internet.
