Il geofencing è l'uso di controlli basati sulla posizione per modificare il comportamento del software in base a dove sembra trovarsi un dispositivo, un indirizzo IP o una rete. Nel malware, può significare rifiutarsi di eseguire, disabilitare funzionalità o mostrare un comportamento benigno al di fuori di un paese, una regione o un ambiente di destinazione. Gli aggressori lo usano per ridurre l'esposizione a sandbox, ricercatori e forze dell'ordine, e per evitare che i campioni rivelino tutte le loro capacità durante l'analisi.
Nelle attacchi reali, il geofencing compare spesso insieme a logiche anti-analisi come il rilevamento di macchine virtuali, controlli sulla lingua o ritardi temporali. Ad esempio, il malware può attivare il proprio payload solo quando il sistema della vittima corrisponde a una specifica area geografica o quando il percorso di rete sembra locale rispetto al target previsto. Per i difensori questi controlli sono importanti perché possono ritardare il rilevamento e far sembrare innocui i campioni. I team di sicurezza spesso aggirano il geofencing utilizzando ambienti di analisi specifici per regione, endpoint VPN o sandbox strumentate che imitano la località di destinazione.