How are the IoCs in the Fortgale Feed generated?

The Feed is produced through continuous in-house analysis of offensive infrastructure: scanning of phishing domains, known C2s (CobaltStrike, BruteRatel, Matanbuchus, Lumma), ransomware campaigns and phishing kits. Every IoC is validated by the team before publication to ensure high fidelity.

How many indicators do you publish per week?

Over 34,000 IoCs per week (~18k phishing + ~16k malware/C2). Volume varies with the activity of ongoing campaigns.

Is it available standalone or only with the Fortgale SOC?

Both. Integrated component of the Fortgale SOC/MDR (auto-applied) or standalone for teams that already operate their own security platform.

Service · Intelligence Feed · STIX/TAXII

34.000 Indikatoren pro Woche. Sofort anwendbar.

Fortgale produziert seinen eigenen Intelligence Feed zu Phishing-Domains, C2-Servern, Malware und Ransomware — vollständig vom Analysten-Team produziert und validiert vor jeder Veröffentlichung. Über 200 Entitäten in Echtzeit überwacht.

Feed-Zugang anfordern Die Kategorien →

34k+IoCs pro Woche

200+Überwachte Entitäten

24·7Echtzeit-Updates

Fortgale · ioc-feed.sh

Live stream

10:42:18PHISHINGlogin-acme[.]365-secure[.]netVALID

10:42:09C2 · CSupdate-cdn[.]global · WM 1580103824VALID

10:41:54STEALERLumma · EU-cluster-047VALID

10:41:32RANSOMLockBit · leak.lockbit[.]onionVALID

10:41:18PHISHINGm1cr0s0ft-verify[.]net · EvilginxVALID

10:41:02C2 · BRapi-status[.]xyz · BruteRatelVALID

10:40:48LOADERMatanbuchus 3.0 · EU campaignVALID

10:40:31PHISHINGworkspace-recovery[.]xyz · GreatnessVALID

Compliance

NIS2-ready

DORA

ISO 27001

GDPR

Austausch-Standards

STIX/TAXII 2.1

JSON / REST API

CSV

MISP-kompatibel

Was den Feed auszeichnet

Intelligence produziert, nicht aggregiert.

Während andere Anbieter Drittanbieter-Feeds weiterverkaufen (VirusTotal, Recorded Future, Mandiant), produziert Fortgale originale Intelligence aus eigener Analyse.

01 ·

Monitoring offensiver Infrastruktur

Kontinuierliches Scanning neu registrierter Domains, anomaler SSL-Zertifikate, offener Ports mit bekannten C2-Fingerprints. Wir identifizieren Infrastruktur, bevor sie im Angriff eingesetzt wird.

02 ·

High-Fidelity-Validierung

Jeder IoC wird vor der Veröffentlichung vom Analysten-Team validiert: Malicious-Nature-Verifikation, Deduplizierung, Confidence Scoring, Kontextualisierung mit Kampagne oder Threat Actor.

03 ·

Kontinuierliche Updates, nicht in Batches

Der Feed aktualisiert sich in Echtzeit: Jeder neu validierte IoC wird sofort veröffentlicht und verkleinert das Fenster zwischen Identifikation und defensiver Anwendung.

Proof · Feed-Skalierung

Vier Zahlen, die den Feed tragen.

34.000

IoCs pro Woche
validiert und veröffentlicht

200+

Überwachte Entitäten
(Threat Actors, Malware, Kits)

~18k

Phishing-Domains
pro Woche

~16k

C2- und Malware-IoCs
pro Woche

Feed-Kategorien

Vier Kategorien · eine Pipeline.

Phishing-Kits · ~18k

Phishing & Kits

Phishing-Domains, Evilginx-/Modlishka-/Muraena-/W3LL-Panel-/Greatness-Kits, AiTM-Infrastruktur. Echtzeit-Updates.

C2 · ~16k

C2 & Infrastruktur

CobaltStrike-, BruteRatel-, Havoc-, Sliver-, Nighthawk-, Metasploit-Server. Watermark, Beacon-Config, JARM-Fingerprint.

Stealer · Loader

Infostealers & Malware

Lumma, RedLine, Vidar, Raccoon, MetaStealer, RisePro, Stealc, Loader (Matanbuchus, GuLoader, PrivateLoader, IcedID), RATs (AsyncRAT, Remcos, NjRAT, XWorm).

Ransomware

Ransomware & Leak

IoCs und Infrastruktur für LockBit, BlackCat/ALPHV, RansomHub, Cl0p, Akira, Black Basta, Play, Qilin, Medusa. Leak-Site-Monitoring.

Formate und Integrationen

Vendor-agnostische Verteilung.

Der Feed ist in drei Standardformaten verfügbar. Kompatibel mit den wichtigsten Security-Operations-Stacks.

CTI-Standard

STIX/TAXII 2.1

De-facto-Standardformat zum Teilen von Threat Intelligence. Periodischer Pull oder Echtzeit-Push. OpenCTI nativ.

REST API

JSON · REST

REST-Endpoint mit Token-Authentifizierung. Filter nach Typ, Severity, Sektor, Zeitraum. Ideal für die Custom-Integration in SIEM/SOAR.

Bulk

CSV · MISP

CSV-Export für Offline-Ingestion. MISP-kompatibel für Organisationen, die die offene Threat-Sharing-Plattform nutzen.

Native integrations

Microsoft SentinelSplunk ESIBM QRadarCrowdStrike FalconSentinelOnePalo Alto XSOARMISPFortinet FortiSIEMCheck Point

How the Feed is produced

Six steps · from global scan to IoCs in den Kunden's stack.

Monitoring offensiver Infrastruktur

Kontinuierliches Scanning neu registrierter Domains, anomaler SSL-Zertifikate, offener Ports mit Fingerprints bekannter C2s, um Infrastruktur vor ihrem operativen Einsatz zu identifizieren.

Korrelation & Attribution

Analytische Pipeline mit automatischer Anreicherung: Verknüpfung von Domains, IPs, Zertifikaten und Hashes zu bekannten Kampagnen. Infrastruktur-Überschneidungen zwischen Gruppen.

High-Fidelity-Validierung

Jeder IoC wird vor der Veröffentlichung vom Analysten-Team validiert: Malicious-Nature-Verifikation, Deduplizierung, Confidence Scoring, Kontextualisierung.

Echtzeit-Updates

Der Feed wird in Echtzeit aktualisiert: jeder neu validierte IoC wird sofort veröffentlicht, verkleinert das Fenster zwischen Identifikation und defensiver Anwendung.

MITRE-Kontextualisierung

Jeder IoC wird mit MITRE-ATT&CK-TTPs angereichert, zugeordnetem Threat Actor, Zielsektor, Beobachtungszeitraum. Mehr als ein IoC: eine Intelligence-Einheit.

Automatische defensive Anwendung

Automatisch angewendet auf Fortgale-SOC-Kunden als Custom Threat Intelligence. Für Standalone-Kunden über STIX/TAXII/REST API in ihren eigenen Stack verteilt.

Integrierte Verteidigung

Der Feed speist den gesamten Stack.

Strategisch

Cyber Threat Intelligence

Strukturierte Profile von 180+ Akteuren, aktive Kampagnen, vertikale Advisories, Dark-Web-Monitoring.

CTI entdecken →

C2-Deep-Dive

C2-Tracking

Deep Dive zum Tracking von CobaltStrike-, BruteRatel-, Havoc-, Metasploit-Servern: Watermark, Config, Attribution.

C2-Tracking entdecken →

Operativ · SOC

Managed Detection & Response

Die Detection-Regeln des SOC werden vom Feed gespeist. Jeder validierte IoC wird in Echtzeit angewendet.

MDR entdecken →

FAQ

Alles, was Sie wissen müssen, bevor Sie den Feed anfordern.

Wie werden die IoCs im Fortgale-Feed generiert?

Durch kontinuierliche In-house-Analyse offensiver Infrastruktur: Analyse von Phishing-Domains, bekannten C2-Servern (CobaltStrike, BruteRatel, Matanbuchus, Lumma), Ransomware-Kampagnen und Phishing-Kits. Jeder IoC wird vor der Publikation auf hohe Fidelity validiert.

Wie viele Indikatoren publizieren Sie pro Woche?

Über 34.000 pro Woche (~18k Phishing + ~16k Malware/C2). Das Volumen variiert mit der Aktivität laufender Kampagnen.

Welche Threat Actors und Malware überwachen Sie?

Über 200 Entitäten: C2-Frameworks (CobaltStrike, BruteRatel, Sliver, Havoc, Nighthawk), Infostealer (Lumma, RedLine, Vidar, Raccoon, MetaStealer, RisePro, Stealc), Ransomware (LockBit, BlackCat/ALPHV, Clop, RansomHub, Akira, Black Basta, Play, Qilin), Loader (Matanbuchus, GuLoader, PrivateLoader, DBatLoader, IcedID), Phishing-Kits (W3LL Panel, Greatness, Evilginx).

Wie integriert sich der Feed mit Security-Systemen?

STIX/TAXII 2.1, JSON über REST-API, CSV. Kompatibel mit Microsoft Sentinel, Splunk, IBM QRadar, CrowdStrike Falcon, SentinelOne, Palo Alto, Fortinet, Check Point. Kontinuierliche Updates, automatisch auf Detection-Regeln anwendbar.

Standalone verfügbar oder nur mit dem Fortgale-SOC?

Beides. Komponente des Fortgale-SOC/-MDR (automatisch angewendet) oder standalone für Teams, die bereits eine eigene Security-Plattform betreiben.

Feed-Zugang

34.000 Indikatoren letzte Woche. Wie viele haben Sie angewendet?

Der Fortgale Intelligence Feed liefert in Ihren Security-Stack die Intelligence zu Phishing, C2, Malware, Ransomware und Infostealern, die ein internes Team nicht eigenständig produzieren kann — validiert, in Echtzeit aktualisiert, anwendungsbereit.