L’équipe de Threat Intelligence de Cato Networks a identifié un malware baptisé Foxveil, actif depuis août 2025, qui s’appuie sur des infrastructures cloud légitimes pour diffuser ses charges et contourner les mécanismes de détection traditionnels.
L’équipe de Threat Intelligence du spécialiste du SASE Cato Networks a révélé l’existence d’un malware qui exploite des infrastructures cloud légitimes pour contourner les défenses. Baptisé Foxveil, il est actif depuis août 2025 et compte deux variantes. Ce loader de première phase récupère ses charges utiles depuis Cloudflare Pages, Netlify et des pièces jointes Discord temporaires.
Une fois exécuté, le malware établit un point d’ancrage initial dans une infrastructure de staging. Il télécharge ensuite une charge utile sous la forme de shellcode depuis des services cloud de confiance et exécute le code en mémoire par injection. Se mettent ensuite en place des mécanismes de persistance et des charges complémentaires afin de faciliter la post-exploitation. Cato Networks a signalé les URL malveillantes aux plateformes. Netlify a d’ores et déjà confirmé les avoir supprimées, et Cloudflare en avoir restreint l’accès. Les liens Discord n’étaient déjà plus actifs lorsque l’équipe de Cato Networks a réalisé son analyse.
Changement de stratégie pour les attaquants et les défenseurs
Pourquoi c’est intéressant ? « Cette recherche met en lumière un changement de paradigme pour les équipes de sécurité : la détection ne peut plus reposer uniquement sur la réputation des domaines. L’analyse comportementale, les chaînes d’exécution suspectes et les mécanismes d’injection en mémoire deviennent des indicateurs clés », détaille Guy Waizel, tech evengelist chez Cato Networks.
Ce malware illustre en effet une stratégie des cybercriminels qui, pour brouiller les pistes, délaissent les infrastructures malveillantes pour exploiter des services cloud légitimes et se fondre dans le décor — ou plutôt, dans le trafic légitime — afin de compliquer la tâche des défenseurs.
