Según los hallazgos del **Microsoft Defender Security Research Team**, los actores de amenazas están explotando las cookies HTTP para controlar web shells basados en **PHP** en servidores **Linux**. Esto les permite lograr la ejecución remota de código de una manera más sigilosa. "En lugar de exponer la ejecución de comandos a través de parámetros de URL o cuerpos de solicitud, estos web shells dependen de los valores de cookies proporcionados por el actor de amenazas para controlar la ejecución, pasar instrucciones y activar la funcionalidad maliciosa", afirmó **Microsoft**. ### La Ventaja del Sigilo Este enfoque ofrece un mayor sigilo porque el código malicioso permanece inactivo durante la ejecución normal de la aplicación. La lógica del web shell solo se activa cuando están presentes valores específicos de cookies. Este comportamiento se extiende a las solicitudes web, las tareas programadas y los trabajadores de fondo confiables. La actividad maliciosa aprovecha el hecho de que los valores de las cookies están fácilmente disponibles en tiempo de ejecución a través de la variable superglobal `$_COOKIE` en **PHP**. Esto permite que las entradas proporcionadas por el atacante se consuman sin un análisis adicional. Además, es poco probable que la técnica levante sospechas, ya que las cookies se integran en el tráfico web normal, lo que reduce la visibilidad. ### Variaciones de Implementación El modelo de ejecución controlado por cookies viene en diferentes implementaciones: * Un cargador **PHP** que utiliza múltiples capas de ofuscación y verificaciones en tiempo de ejecución antes de analizar la entrada de cookies estructurada para ejecutar un payload secundario codificado. * Un script **PHP** que segmenta los datos de cookies estructuradas para reconstruir componentes operativos como funciones de manejo de archivos y decodificación, y escribe condicionalmente un payload secundario en el disco y lo ejecuta. * Un script **PHP** que utiliza un único valor de cookie como marcador para activar acciones controladas por el actor de amenazas, incluida la ejecución de la entrada proporcionada y la carga de archivos. ### Acceso Inicial y Persistencia En al menos un caso, los actores de amenazas obtuvieron acceso inicial al entorno **Linux** alojado de una víctima a través de credenciales válidas o la explotación de una vulnerabilidad de seguridad conocida. Este acceso se utilizó para configurar un trabajo cron que invoca periódicamente una rutina de shell para ejecutar un cargador **PHP** ofuscado.  Esta arquitectura de "autocorrección" permite que el cargador **PHP** sea recreado repetidamente por la tarea programada, incluso si se elimina durante los esfuerzos de limpieza. Esto crea un canal de ejecución remota de código confiable y persistente. Una vez desplegado, el cargador **PHP** permanece inactivo durante el tráfico normal y solo se activa al recibir solicitudes HTTP con valores de cookies específicos. "Al trasladar el control de ejecución a las cookies, el web shell puede permanecer oculto en el tráfico normal, activándose solo durante las interacciones deliberadas", agregó **Microsoft**. "Al separar la persistencia a través de la recreación basada en cron del control de ejecución a través de la activación controlada por cookies, el actor de amenazas redujo el ruido operativo y limitó los indicadores observables en los registros de aplicaciones de rutina". Un aspecto común en todas las implementaciones es el uso de ofuscación para ocultar la funcionalidad sensible y el control basado en cookies para iniciar la acción maliciosa, minimizando la huella interactiva. ### Estrategias de Mitigación Para contrarrestar esta amenaza, **Microsoft** recomienda: * Implementar autenticación multifactor para paneles de control de alojamiento, acceso SSH e interfaces administrativas. * Monitorear la actividad de inicio de sesión inusual. * Restringir la ejecución de intérpretes de shell. * Auditar trabajos cron y tareas programadas en servidores web. * Verificar la creación de archivos sospechosos en directorios web. * Limitar las capacidades de shell de los paneles de control de alojamiento. "El uso constante de cookies como mecanismo de control sugiere la reutilización de técnicas de web shell establecidas", dijo **Microsoft**. "Al trasladar la lógica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles de inspección y registro tradicionales". "En lugar de depender de cadenas de exploits complejas, el actor de amenazas aprovechó las rutas de ejecución legítimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el código malicioso".