Das Sicherheitsteam von Cato Networks hat mit „Foxveil“ einen neuen Malware-Loader entdeckt, der sich im normalen Webverkehr tarnt. Er nutzt vertrauenswürdige Plattformen wie Cloudflare und Discord, um gefährliche Payloads ins System einzuspeisen.
Foxveil lädt nach der initialen Infektion eine Shellcode-Payload herunter, die typischerweise im Arbeitsspeicher ausgeführt wird, ohne auf die Festplatte geschrieben zu werden, um die Erkennung zu minimieren.
Die Cybersecurity-Experten von Cato CTRL, dem Threat-Research-Team von Cato Networks berichten, einen bisher unbekannten Malware-Loader entdeckt zu haben, den sie „Foxveil“ nennen. Foxveil agiere als initialer Loader. Mit Laden und Ausführen kompromittier er ein Windows-System, sei in der Lage, Analysen zu erschweren und anschließend weitere Payloads nachzuladen. Dabei würde er sogenannte Next-Stage-Payloads über weit verbreitete, in Unternehmensumgebungen typischerweise vertrauenswürdige Plattformen beziehen, anstatt über Infrastrukturen, die einem Angreifer klar zugeordent werden könnten. In den von Cato untersuchten Fällen habe Foxveil Cloudflare-Seiten und Netlify, Git basierte Cloud-Plattform zum Hosten, Erstellen und Skalieren von Webprojekten, als Staging-Hosting sowie oftmals auch Discord-Anhänge als Downloadquelle genutzt.
Die Infektionskette beginnt den Sicherheitsforschern zufolge meist damit, dass Nutzer eine bösartige EXE- oder DLL-Datei herunterladen und ausführen. Im Anschluss an die Ausführung verbinde sich der Foxveil zunächst mit vom Angreifer kontrollierten Staging-Infrastrukturen. Dafür würden die Akteure typischerweise Cloudflare-Seiten, Netlify-Domains oder Discord-Anhänge nutzen. Von dort lade der Angreifer im nächsten Schritt eine Shellcode-Payload nach, die häufig mit „Donut”, einem Open-Source-Werkzeug, das Shellcode für die Ausführung von Windows-Payloads im Arbeitsspeicher generiert, ohne dabei Daten auf die Festplatte zu schreiben, erzeugt werde. Dann würde er diesen Shellcode ausführen, indem er ihn per Injektion in einen Prozess einschleuse. Die jeweilige Injektionsmethode variiere je nach Variante des Loaders, von der Cato zwei identifiziert habe.
In einem letzten Schritt sorge Foxveil für Persistenz, wobei die Techniken dazu ebenfalls variieren würden. Zusätzlich lege die Malware weitere ausführbare Dateien ab. Diese seien mutmaßlich dafür gedacht, dass sich der Loader dauerhaft auf dem System festsetzen beziehungsweise zusätzliche Aktionen im System durchführen könne.
Nach Einschätzung der Experten ist die beobachtete Kampagne seit mindestens August 2025 aktiv. Cato habe in mehreren Fällen beobachtet, dass Foxveil zusätzliche Executables von Netlify- oder Cloudflare-Seiten nachlade und sie im Ordner „C:\Windows\SysWOW64\“ speichere. Die Dateien seien häufig mit Namen getarnt, die legitime Windows-Prozesse imitieren würden, etwa „sihost.exe“, „taskhostw.exe“ oder „audiodg.exe“. Teilweise seien auch unauffällige Namen wie „real1.exe“ oder „real2.exe“ genutzt worden.
Bemerkenswert sei auch die von Foxveil genutzte Funktion, die die Analyse erschwere. Die Malware ersetze verdächtige Begriffe wie „fox”, „payload”, „inject”, „shellcode”, „beacon” oder „meterpreter” sowie Marker wie „http/https“ und „.exe/.dll“ durch zufällige Werte, um statische Signaturen und Reverse Engineering zu erschweren. Die Analysten vermutet, dass Foxveil als Loader für ein späteres Post-Exploitation-Framework dient. Als mögliche Komponente wird Cobalt Strike genannt.
Die Security-Experten von Cato berichten, die missbrauchte Infrastruktur den Betreibern gemeldet zu haben. Netlify habe am 19. Januar 2026 die Abschaltung der gemeldeten URLs gemeldet und Cloudflare habe am 20. Januar 2026 eine Weiterleitung des Abuse-Reports sowie Zugriffsbeschränkungen gemeldet. Die Discord-Attachment-Links seien zum Analysezeitpunkt schon nicht mehr aktiv gewesen.
Cato liefert eine Liste mit Indicators of Compromise. Konkrete Handlungsempfehlungen zum Schutz vor Foxveil bleiben aus. Grundsätzlich sollten Unternehmen eine umfassende Sicherheitsstrategie gegen Malware-Loader wie Foxveil entwickeln. Der Einsatz aktueller Antivirenprogramme sowie Netzwerksicherheitslösungen wie Firewalls und Intrusion Detection Systems ist unerlässlich, um verdächtige Aktivitäten zu überwachen. Ein effektives Benutzerzugriffsmanagement, Multifaktor-Authentifizierung und Schulungen zur Sensibilisierung der Mitarbeiter für Phishing sind ebenfalls wichtig. Regelmäßige Updates aller Systeme und die Implementierung verhaltensbasierter Erkennungssysteme helfen, Sicherheitsanfälligkeiten frühzeitig zu identifizieren. So kann das Risiko von Malware-Loadern erheblich reduziert werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7a/3b/7a3bcac7af0aeaad6ba115bacf165b7b/0129996562v2.jpeg "Foxveil lädt nach der initialen Infektion eine Shellcode-Payload herunter, die typischerweise im Arbeitsspeicher ausgeführt wird, ohne auf die Festplatte geschrieben zu werden, um die Erkennung zu minimieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7d/ba/7dbaa635d6a6c618f72199882f8b838f/0129755658v2.jpeg "Das Personal der BDH-Klinik in Greifswald habe nach einem Cyberangriff einige digitale Abläufe analog ausführen müssen, die Versorgung der Patienten sei jedoch sichergestellt gewesen. (©peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e8/bde8a5d7b7849edc4eabd65c8fd51234/0130163936v2.jpeg "Nutzen Hacker die Sicherheitslücke EUVD-2026-12570 / CVE-2026-3888 erfolgreich aus, können sie Root-Rechte erlangen und dadurch vollständigen Zugriff auf das System erhalten, was ihnen ermöglichen könnte, kritische Systemdateien zu manipulieren, persönliche Daten zu stehlen oder Malware zu installieren. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/aa/1baacc0a74b6a654adab1d6361f93ed5/0130317534v1.jpeg "Software-Defined Networking und Künstliche Intelligenz ermöglichen autonome Netzwerksicherheit durch programmierbare Mikrosegmentierung und Echtzeit-Anomalieerkennung mit eBPF und P4. (Bild: Gemini / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/46/97/4697933f44abb619988f1b2044aa8f55/0128888135v1.jpeg "Ärztinnen und Ärzte nutzen häufiger KI als ihre medizinischen Fachangestellten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f0/28/f028df8ccd13e82c2e4852a9be84564f/0130316618v2.jpeg "Cyber-physische Systeme verschmelzen IT und OT. Manipulation von kritischen Maschinen oder Geräten kann Produktionsausfälle oder sogar Lebensgefahr verursachen. (Bild: © Chopang.studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/ca/81caf4ba2484c54ff3ec01fb8d114b71/0130007353v1.jpeg "Die Rolle der Datensicherung hat sich gewandelt und von der Backup-Erstellung hin zur verlässlichen Wiederherstellung verlagert. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/71/b8/71b89342d5495344574b15b04a52df74/0130317518v2.jpeg "CRA und NIS2 fordern überprüfbare Software-Sicherheit. Hersteller müssen sichere Entwicklung attestieren, Betreiber diese Nachweise durch SBOM und Provenance validieren. (Bild: © Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/83/80832d33f44c7d00f2e5b873efb154de/0130371229v1.jpeg "Der Bundestag hat die Entwürfe zum Data Act und zum Daten Governance Gesetz mit Änderungen verabschiedet. Nun können die EU‑Vorgaben in deutsches Recht umgesetzt werden. (Bild: Casiana Malaia's via Canva)")
:quality(80)/p7i.vogel.de/wcms/de/92/de92f58a279ad049bc265bade34417bd/0130135264v2.jpeg "Besonders GitHub ist von GlassWorm betroffen, da Angreifer den Schadcode in weit verbreitete Repositories einschleusen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/5d/625dd4f343e305d929e442997906cba8/0130193004v2.jpeg "Die Hacker gelangen an die Daten von asgoodasnew-Kunden, indem sie eine Sicherheitslücke in einem Zahlungsmodul ausnutzten, das von dem Drittanbieter Oxid eShop bereitgestellt wurde. (©MicroOne - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/76/be/76be41bcde463802c9329eded5d45c6f/0130237353v1.jpeg "Identitätssysteme wie Entra ID kontrollieren den Zugang zu kritischen Flughafen-Systemen. Ein Ausfall legt den gesamten Betrieb lahm. (Bild: © WICHAI – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/72/83729b923e87317b94edad7d73b89051/0130146252v2.jpeg "Keycloak ermöglicht Single Sign-on und Identitätsmanagement mit Open-Source-Freiheit, erfordert aber erhebliches Spezialwissen für Konfiguration und produktiven Betrieb. (Bild: © THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/9c/259c3c848c25e584592e4ea7928f5fe3/0126593157v1.jpeg "Eine Cloud Native Application Protection Platform (CNAPP) ist eine Sicherheitsplattform mit umfassenden Sicherheitsfunktionen für ein ganzheitliches Sicherheitskonzept zum Schutz cloudnativer Anwendungen.
(Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/92/f8/92f801eddd094c3854b474d161456d58/0126593157v1.jpeg "Der EPSS-Score des Exploit Prediction Scoring System (EPSS) gibt die Wahrscheinlichkeit für die aktive Ausnutzung einer Sicherheitslücke an. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/99/c0/99c0503e1376029ac450247220ad4c16/0126593157v1.jpeg "Ein Micropatch ist ein sehr kleines Software-Update für genau ein konkretes Problem oder eine Schwachstelle und wird durch Code-Injizierung in den Arbeitsspeicher aktiviert. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/9d/699da109d631b/onapsis-logo-full-color-rgb-150dpi.png "onapsis-logo-full-color-rgb-150dpi (Onapsis)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cd/22/cd221e0a638fcb236dbc04b8c0510c9f/0129879317v2.jpeg "TrustConnect ist eine neue Malware-as-a-Service, die sich als legitimes Remote-Management-Tool tarnt. Für 300 Dollar monatlich erhalten Cyberkriminelle Zugriff auf ein professionelles C2-Dashboard mit vorkonfigurierten Installern. (Bild: © James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/f2/7af27244e2a7e2020c8cf1e428560094/0129336301v2.jpeg "Self-hosted GitHub Actions Runner eignen sich aufgrund ihrer Eigenschaften – wie der Fähigkeit, beliebigen Code auszuführen und persistenten Zugriff auf interne Netzwerke zu bieten – für Angreifer perfekt, um dort Backdoors zu verstecken. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/92/0892608306427d60feb22843766547fc/0129155272v2.jpeg "Web-Bedrohungen haben laut dem Acronis Cyberthreats Update im November 2025 um 82 Prozent zugenommen, was durch einen Anstieg schädlicher URLs auf über 25 Millionen und eine signifikante Zunahme von Malware-Angriffen unterstrichen wird. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/89/2789fbf66a19362ffd79565279a2202b/0129120197v2.jpeg "Das Botnetz GoBruteforcer expandiert, indem es erfolgreich kompromittierte Linux-Server in seine Infrastruktur integriert und deren Ressourcen für weitere Brute-Force-Angriffe sowie zur Ausbeutung schwacher Passwörter nutzt. (Bild: Aidas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/31/b231ca800cc18d8b559561f0cfc46c29/0123961275v1.jpeg "Bitdefender Labs warnt vor „QWCrypt“ – einer neuen Ransomware,
mit der die Gruppe RedCurl virtuelle Maschinen angreift. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6f0475c9ce93763edefaddca0636e8/0127567626v2.jpeg "Anstelle bis zum nächsten Patchday zu warten, veröffentlichte Microsoft nun außerplanmäßig einen Nofall-Patch für eine WSUS-Sicherheitslücke, der Ausnutzung wahrscheinlich sei. (Bild: Kiattisak - stock.adobe.com)")