Source et contexte : Cato Networks (Cato CTRL Threat Research) publie une analyse technique d’un nouveau loader baptisé « Foxveil », actif depuis août 2025, qui s’appuie sur des plateformes cloud de confiance pour le staging et déploie du shellcode en mémoire avec des techniques d’injection et d’évasion avancées.

Foxveil s’appuie sur des infrastructures « de confiance » (Cloudflare Pages, Netlify, Discord) pour héberger ses charges de second étage, ce qui brouille les signaux réseau et rend inefficaces les simples listes de blocage. Deux variantes sont observées : v1 (staging surtout via Cloudflare/Netlify) et v2 (staging souvent via pièces jointes Discord). La campagne est en cours depuis août 2025.

— Variantes et techniques clés

  • v1 : injection Early Bird APC dans un processus nouvellement lancé déguisé en svchost.exe ; persistance via enregistrement comme service Windows (ex. AarSvc) ; charges fréquemment Donut-générées exécutées principalement en mémoire.
  • v2 : auto‑injection (même processus) de shellcode souvent téléchargé via Discord ; tentative de manipulation de Microsoft Defender via WMI (Remove ExclusionPath sur C:\Windows\SysWOW64) ; dépôt de charges supplémentaires dans **C:\Windows\SysWOW64**.

— Évasion et post‑exploitation

  • Mutation de chaînes à l’exécution visant des mots‑clés d’analyse/attribution (ex. « fox », « payload », « inject », « shellcode », « meterpreter », « beacon », « http(s):// », « .exe », « .dll ») pour perturber la détection statique et ralentir la rétro‑ingénierie.
  • Dépôt de binaires de second étage aux noms usurpant des processus Windows (sms.exe, sihost.exe, taskhostw.exe, etc.) sous C:\Windows\SysWOW64.
  • Éléments suggérant un framework ultérieur (confiance modérée pour Cobalt Strike) : écoute locale observée sur ports 9933/9934, mutation ciblant « beacon/meterpreter », usage d’un extracteur de configuration Cobalt Strike pendant l’analyse.

— Opérations et remédiations tierces

  • Signalements envoyés à Netlify (URLs supprimées le 19 janvier 2026) et Cloudflare (restriction appliquée le 20 janvier 2026). Les liens Discord observés étaient déjà inaccessibles (liens d’attachement temporaires ~24 h). La plateforme SASE de Cato indique bloquer Foxveil avant exécution des charges.

— TTPs (extraits) 🔎

  • Initial : exécution d’un EXE/DLL malveillant par la victime, contact de staging Cloudflare Pages / Netlify / Discord attachments.
  • Exécution : shellcode Donut, injection Early Bird APC dans un faux svchost.exe (v1) ou auto‑injection (v2).
  • Persistance : service Windows (v1) ; dépôt de charges dans *C:\Windows\SysWOW64* (v1/v2).
  • Évasion : mutation de chaînes anti‑analyse ; WMI MSFT_MpPreference Remove ExclusionPath visant C:\Windows\SysWOW64 (v2).
  • Masquage : faux noms de fichiers (sms.exe, sihost.exe, taskhostw.exe, taskhostw1.exe, audiodg.exe).
  • Post‑exploitation (suspect) : comportement cohérent avec Cobalt Strike (écoute 9933/9934, indicateurs textuels ciblés).

— IoCs

  • Hashes (SHA‑256) :
    • 62dd94ece73f510d03c74a00bfe9d8ad09d49c140fc30415a843c97cf018107f
    • 26d4e07514498453aa5d409a28489008080d307899bda8357870f193bdb994b8
    • 1ed74593fb463a16b29bb24f31d06c749e59c6da82410b1dc9f1e53583b765f1
    • bad1c2cdaecb3dfba5cd00127131b623f600230fb344c662f84051da3b3f8d0a
    • fea2fca4f4d4497c615ca1b99fd966835444bee1836ad7c3060449481b44411b
    • 91f08b5dead11611cce2db0ef99998bba883c4bfa45a1c2cace07a675bbaf726
    • 0a04cf0e9a5cdbdc39908bd49003df8757886e6c15b03f9513074be8e1136131
    • 0e955d5994e44a319798aa89b3bfc5030ba9bd999e8b39eb647b5a2cdaafabf7
    • d9344f0c722ff43d951640ce7f63bc3080c5834357eb7e2bf1ca8951dc0ad7ce
    • 9655603d5ac9b7c0ad707ea699f3144adf9ba8c6ea0c503d7e059e498e40223a
    • 1375c72aea776098ea4d2723903ab0d84bfb858f29e8bc0c7b770638babbd24e
    • fee0643f806a843d6e2b2e89adff15423ab15010edcc162d5952ed9c83dda223
    • 8a4f98822dc71b03c1ec926f34210bf50394ca41077e45e50692db6495ca7526
    • cf900bf7bddf27c0eee38a6076b2f304aa97ce1cec12504f60fff68b50ce4491
    • 247f23b1e7b33603a86eff65fc14f884f31a495dd72e56826b2963aca5789d63
    • bd36756dc91d89cbc6e0274c3d5f3bd5aadfa3da80d736260265a2daea44610e
    • 0a651f185dd6bbe066b8e00c45f12ae2f992ed4fdc8b2e509a3ab7112b03a031
    • 236da45395be57def8e8d78db5292a7561526e95906be5e79fb455a5486c94df
    • 257bfbd0c73e3dc2b56b1cb41927fb275cff457b19f5cbbae3c931bde9c83afd
    • 8a2dae4db0146aa5b499d1b7bbd29eca39e307d9d5beb01b388434f0ae706e1b
    • 39fbf4a14b69ed5723a864ada4ecbe197027b6f620dc0612ae283b18784c795b
    • 15eeedcaf826782ca89f55be6bf45b0a9c968839e288a5fb699803ffb213df5c
    • e6086bc20b455c3d3c9697fc2eaef76ac2fb6b91a2cdc1c96f6482e0f59dc9b0
    • 79ea2f0fc2fc2cb2da25cb63786bdf3cf969b5dfb9f3c54d357a7da563c2d252
    • 6b41fb9dd6708aeb6bf86a5f2b5b48a1376a0c913ffc202c452d89a92e4f3e4d
    • e575ebb18e8c93346222a8e7620a72a952206ce4125ef2b39331018aa023ad93
    • 3664d427129c921465e7bcf46c4d136ce28f3acc76af24e285af7d54a6b1cb08
    • ff21185f39c22b28c3600938ad57f9082606e023774344fcd079e45ff47d8d3f
    • 3decc1b54c234a1afab15bac26783bc26e2387a39d6fa52e6d74081b85fa97a4
    • 42c49ead9d05e73414cc583cd3329cf992e6a8dc057833bf686c416284d8de9e
    • f58eff6697f0ae47abb0e8984ef97b98b6bc8549511550d8f38056d9db9e65d4
    • 6ba9d7add7d23144407ddec7724665039316c65b2c85000e16a9b214abe5d63f
    • 87c34f16f1a27a30b1faa4c0bc9a28ff73726d204e6852143f8e615ab1ee46c6
    • 1469a819592d5323b758fec49d3f1152a3327d9307bffaa747741fda46445a0a
  • Domaines :
    • syscore[.]pages[.]dev
    • taskhostw[.]pages[.]dev
    • smss-416[.]pages[.]dev
    • csrss[.]netlify[.]app
    • sec-healthcore[.]netlify[.]app
    • smss1[.]netlify[.]app
    • driverstore-cdn[.]netlify[.]aap
    • latestumang[.]netlify[.]app
    • winsysops[.]netlify[.]app
    • sihost[.]netlify[.]app
    • premiumitems[.]netlify[.]app

Type d’article : publication de recherche sur une nouvelle menace, visant à documenter le fonctionnement, les variantes, l’infrastructure et les IoCs de Foxveil.

🧠 TTPs et IOCs détectés

TTP

[“Exécution d’un EXE/DLL malveillant”, ‘Contact de staging Cloudflare Pages / Netlify / Discord attachments’, ‘Shellcode Donut’, ‘Injection Early Bird APC dans un faux svchost.exe (v1)’, ‘Auto-injection (v2)’, ‘Persistance via service Windows (v1)’, ‘Dépôt de charges dans C:\Windows\SysWOW64\ (v1/v2)’, ‘Mutation de chaînes anti-analyse’, ‘WMI MSFT_MpPreference Remove ExclusionPath visant C:\Windows\SysWOW64 (v2)’, ‘Faux noms de fichiers (sms.exe, sihost.exe, taskhostw.exe, taskhostw1.exe, audiodg.exe)’, ‘Comportement cohérent avec Cobalt Strike (écoute 9933/9934, indicateurs textuels ciblés)’]

IOC

{‘hashes’: [‘62dd94ece73f510d03c74a00bfe9d8ad09d49c140fc30415a843c97cf018107f’, ‘26d4e07514498453aa5d409a28489008080d307899bda8357870f193bdb994b8’, ‘1ed74593fb463a16b29bb24f31d06c749e59c6da82410b1dc9f1e53583b765f1’, ‘bad1c2cdaecb3dfba5cd00127131b623f600230fb344c662f84051da3b3f8d0a’, ‘fea2fca4f4d4497c615ca1b99fd966835444bee1836ad7c3060449481b44411b’, ‘91f08b5dead11611cce2db0ef99998bba883c4bfa45a1c2cace07a675bbaf726’, ‘0a04cf0e9a5cdbdc39908bd49003df8757886e6c15b03f9513074be8e1136131’, ‘0e955d5994e44a319798aa89b3bfc5030ba9bd999e8b39eb647b5a2cdaafabf7’, ‘d9344f0c722ff43d951640ce7f63bc3080c5834357eb7e2bf1ca8951dc0ad7ce’, ‘9655603d5ac9b7c0ad707ea699f3144adf9ba8c6ea0c503d7e059e498e40223a’, ‘1375c72aea776098ea4d2723903ab0d84bfb858f29e8bc0c7b770638babbd24e’, ‘fee0643f806a843d6e2b2e89adff15423ab15010edcc162d5952ed9c83dda223’, ‘8a4f98822dc71b03c1ec926f34210bf50394ca41077e45e50692db6495ca7526’, ‘cf900bf7bddf27c0eee38a6076b2f304aa97ce1cec12504f60fff68b50ce4491’, ‘247f23b1e7b33603a86eff65fc14f884f31a495dd72e56826b2963aca5789d63’, ‘bd36756dc91d89cbc6e0274c3d5f3bd5aadfa3da80d736260265a2daea44610e’, ‘0a651f185dd6bbe066b8e00c45f12ae2f992ed4fdc8b2e509a3ab7112b03a031’, ‘236da45395be57def8e8d78db5292a7561526e95906be5e79fb455a5486c94df’, ‘257bfbd0c73e3dc2b56b1cb41927fb275cff457b19f5cbbae3c931bde9c83afd’, ‘8a2dae4db0146aa5b499d1b7bbd29eca39e307d9d5beb01b388434f0ae706e1b’, ‘39fbf4a14b69ed5723a864ada4ecbe197027b6f620dc0612ae283b18784c795b’, ‘15eeedcaf826782ca89f55be6bf45b0a9c968839e288a5fb699803ffb213df5c’, ’e6086bc20b455c3d3c9697fc2eaef76ac2fb6b91a2cdc1c96f6482e0f59dc9b0’, ‘79ea2f0fc2fc2cb2da25cb63786bdf3cf969b5dfb9f3c54d357a7da563c2d252’, ‘6b41fb9dd6708aeb6bf86a5f2b5b48a1376a0c913ffc202c452d89a92e4f3e4d’, ’e575ebb18e8c93346222a8e7620a72a952206ce4125ef2b39331018aa023ad93’, ‘3664d427129c921465e7bcf46c4d136ce28f3acc76af24e285af7d54a6b1cb08’, ‘ff21185f39c22b28c3600938ad57f9082606e023774344fcd079e45ff47d8d3f’, ‘3decc1b54c234a1afab15bac26783bc26e2387a39d6fa52e6d74081b85fa97a4’, ‘42c49ead9d05e73414cc583cd3329cf992e6a8dc057833bf686c416284d8de9e’, ‘f58eff6697f0ae47abb0e8984ef97b98b6bc8549511550d8f38056d9db9e65d4’, ‘6ba9d7add7d23144407ddec7724665039316c65b2c85000e16a9b214abe5d63f’, ‘87c34f16f1a27a30b1faa4c0bc9a28ff73726d204e6852143f8e615ab1ee46c6’, ‘1469a819592d5323b758fec49d3f1152a3327d9307bffaa747741fda46445a0a’], ‘domains’: [‘syscore.pages.dev’, ’taskhostw.pages.dev’, ‘smss-416.pages.dev’, ‘csrss.netlify.app’, ‘sec-healthcore.netlify.app’, ‘smss1.netlify.app’, ‘driverstore-cdn.netlify.aap’, ’latestumang.netlify.app’, ‘winsysops.netlify.app’, ‘sihost.netlify.app’, ‘premiumitems.netlify.app’]}

🔗 Source originale : https://www.catonetworks.com/blog/cato-ctrl-foxveil-new-malware/