Cato CTRL, l’équipe de Threat Intelligence de la société spécialisée dans le SASE, Cato Networks, a identifié un nouveau chargeur malveillant baptisé Foxveil, actif depuis août 2025. Ce malware exploite des plateformes cloud de confiance telles que Cloudflare Pages, Netlify et, dans certains cas, des pièces jointes Discord temporaires pour récupérer ses charges utiles et contourner les défenses traditionnelles.
Les chercheurs ont observé deux variantes distinctes de ce loader de première phase. Une fois exécuté, Foxveil établit un point d’ancrage initial via des infrastructures de staging reposant sur des services cloud légitimes, télécharge une charge utile sous forme de shellcode souvent généré via Donut, l’exécute en mémoire par injection selon la variante, met en place des mécanismes de persistance et prépare des charges complémentaires pour la post exploitation. Une routine de mutation de chaînes a également été identifiée, permettant de réécrire certains mots clés d’analyse afin de compliquer la détection statique et l’ingénierie inverse.
Dans le cadre d’une démarche de divulgation responsable, Cato a signalé les URL malveillantes aux plateformes concernées. Netlify a confirmé la suppression des URL signalées le 19 janvier 2026 et Cloudflare a restreint l’accès aux ressources incriminées le 20 janvier 2026. Les liens Discord observés n’étaient plus actifs au moment de l’analyse.
Cette évolution impose aux équipes de sécurité de ne plus se fonder uniquement sur la réputation des domaines, mais d’intégrer davantage l’analyse comportementale, les chaînes d’exécution suspectes et les mécanismes d’injection en mémoire.
