{"id":452,"date":"2026-04-03T17:14:07","date_gmt":"2026-04-03T17:14:07","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/microsoft-detalla-shells-web-php-controlados-por-cookies-que-persisten-a-traves-de-cron-en-servidores-linux-cyberdefensa-mx\/"},"modified":"2026-04-03T17:14:07","modified_gmt":"2026-04-03T17:14:07","slug":"microsoft-detalla-shells-web-php-controlados-por-cookies-que-persisten-a-traves-de-cron-en-servidores-linux-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/03\/microsoft-detalla-shells-web-php-controlados-por-cookies-que-persisten-a-traves-de-cron-en-servidores-linux-cyberdefensa-mx\/","title":{"rendered":"Microsoft detalla shells web PHP controlados por cookies que persisten a trav\u00e9s de Cron en servidores Linux \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"<div id=\"articlebody\">\n<p>Los actores de amenazas utilizan cada vez m\u00e1s cookies HTTP como canal de control para shells web basados \u200b\u200ben PHP en servidores Linux y para lograr la ejecuci\u00f3n remota de c\u00f3digo, seg\u00fan los hallazgos del equipo de investigaci\u00f3n de seguridad de Microsoft Defender.<\/p>\n<p>\u00abEn lugar de exponer la ejecuci\u00f3n de comandos a trav\u00e9s de par\u00e1metros de URL o cuerpos de solicitud, estos shells web se basan en valores de cookies proporcionados por los actores de amenazas para controlar la ejecuci\u00f3n, pasar instrucciones y activar funciones maliciosas\u00bb, dijo el gigante tecnol\u00f3gico. <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2026\/04\/02\/cookie-controlled-php-webshells-tradecraft-linux-hosting-environments\/\">dicho<\/a>.<\/p>\n<p>El enfoque ofrece mayor sigilo, ya que permite que el c\u00f3digo malicioso permanezca inactivo durante la ejecuci\u00f3n normal de la aplicaci\u00f3n y active la l\u00f3gica del shell web solo cuando est\u00e1n presentes valores de cookies espec\u00edficos. Este comportamiento, se\u00f1al\u00f3 Microsoft, se extiende a solicitudes web, tareas programadas y trabajadores en segundo plano confiables.<\/p>\n<p>La actividad maliciosa aprovecha el hecho de que los valores de las cookies est\u00e1n disponibles en tiempo de ejecuci\u00f3n a trav\u00e9s del <a href=\"https:\/\/www.php.net\/manual\/en\/reserved.variables.cookies.php\">$_COOKIE superglobal<\/a> variable, lo que permite consumir las entradas proporcionadas por el atacante sin an\u00e1lisis adicional. Es m\u00e1s, es poco probable que la t\u00e9cnica genere se\u00f1ales de alerta, ya que las cookies se mezclan con el tr\u00e1fico web normal y reducen la visibilidad.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/vpn-risk-report-inside-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgWajeG0cdaapf1GKTZRUZUB7BzuYGegyw5k0eAorJXlmkFdYCCeLXXhXYJuXU9lWD33rV6rRnIyly3czoNfYifpxk1eGA5slItPmim3HkubXoQMgC4J7hdQPywxGbWq7Eqeff_o6s2Fq-WmSFd5guwdLn7IqpveMqULqtVnd-ndnljWYGj45EkMFB7m0qm\/s728-e100\/z-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>El modelo de ejecuci\u00f3n controlado por cookies viene en diferentes implementaciones:<\/p>\n<ul>\n<li>Un cargador PHP que utiliza m\u00faltiples capas de ofuscaci\u00f3n y comprobaciones de tiempo de ejecuci\u00f3n antes de analizar la entrada de cookies estructuradas para ejecutar una carga \u00fatil secundaria codificada.<\/li>\n<li>Un script PHP que segmenta datos de cookies estructurados para reconstruir componentes operativos, como funciones de manejo de archivos y decodificaci\u00f3n, y escribe condicionalmente una carga \u00fatil secundaria en el disco y la ejecuta.<\/li>\n<li>Un script PHP que utiliza un \u00fanico valor de cookie como marcador para desencadenar acciones controladas por el actor de amenazas, incluida la ejecuci\u00f3n de la entrada proporcionada y la carga de archivos.<\/li>\n<\/ul>\n<p>En al menos un caso, se ha descubierto que los actores de amenazas obtienen acceso inicial al entorno Linux alojado de una v\u00edctima a trav\u00e9s de credenciales v\u00e1lidas o la explotaci\u00f3n de una vulnerabilidad de seguridad conocida para configurar un trabajo cron que invoca una rutina de shell peri\u00f3dicamente para ejecutar un cargador PHP ofuscado.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEj_dnkqNRqaQpLxOU5zufB7nhgbrggi35J3Umk4F10AbHlHsthwjU_JsBrtLRw5Jr1PyugGvlbNMXVSJSPShLAxDXihKHtisOfPgfqqlAnH9bdyYcV7Qm2t6uEQ5nHsBVBaBG7vfCsKx7FEJ_8F5JIaTqFVWMvm9RxKa76BORPZkMaSd6tgeINAbCm5QgjI\/s1700-e365\/cookie.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEj_dnkqNRqaQpLxOU5zufB7nhgbrggi35J3Umk4F10AbHlHsthwjU_JsBrtLRw5Jr1PyugGvlbNMXVSJSPShLAxDXihKHtisOfPgfqqlAnH9bdyYcV7Qm2t6uEQ5nHsBVBaBG7vfCsKx7FEJ_8F5JIaTqFVWMvm9RxKa76BORPZkMaSd6tgeINAbCm5QgjI\/s1700-e365\/cookie.jpg\" alt=\"\" border=\"0\" data-original-height=\"474\" data-original-width=\"858\"\/><\/a><\/div>\n<p>Esta arquitectura de \u00abautocuraci\u00f3n\u00bb permite que la tarea programada recree repetidamente el cargador PHP incluso si se elimin\u00f3 como parte de los esfuerzos de limpieza y remediaci\u00f3n, creando as\u00ed un canal de ejecuci\u00f3n remota de c\u00f3digo confiable y persistente. Una vez que se implementa el cargador PHP, permanece inactivo durante el tr\u00e1fico normal y entra en acci\u00f3n al recibir solicitudes HTTP con valores de cookies espec\u00edficos. <\/p>\n<p>\u00abAl trasladar el control de ejecuci\u00f3n a las cookies, el shell web puede permanecer oculto en el tr\u00e1fico normal, activ\u00e1ndose s\u00f3lo durante interacciones deliberadas\u00bb, a\u00f1adi\u00f3 Microsoft. \u00abAl separar la persistencia a trav\u00e9s de la recreaci\u00f3n basada en cron del control de ejecuci\u00f3n a trav\u00e9s de la activaci\u00f3n activada por cookies, el actor de amenazas redujo el ruido operativo y limit\u00f3 los indicadores observables en los registros de aplicaciones de rutina\u00bb.<\/p>\n<p>Un aspecto com\u00fan que une todas las implementaciones antes mencionadas es el uso de ofuscaci\u00f3n para ocultar funciones sensibles y activaci\u00f3n basada en cookies para iniciar la acci\u00f3n maliciosa, dejando al mismo tiempo una huella interactiva m\u00ednima.<\/p>\n<div class=\"dog_two clear\">\n<div class=\"cf\"><a href=\"https:\/\/thehackernews.uk\/fast-response-not-fast-d\" rel=\"nofollow noopener sponsored\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjgi9mu68zRUz1nCLLKmkAA2aBtNfP_JOTXulZoB6yImso1Onk7oM_LI0kdROu8fq5S5oDyMtd1j50W44Ye_8Sl3zQZiE8A9tmFr6kejGKjGh74uoxluF-RyBq_unDQlzjXZHCqQeuYXBoogda5zf0w-zXd6v0rIM7fEw6TcFf_QGWBu5Mop-djkEaOUa5A\/s728-e100\/tl-d.jpg\" width=\"729\" height=\"91\"\/><\/a><\/div>\n<\/div>\n<p>Para contrarrestar la amenaza, Microsoft recomienda aplicar la autenticaci\u00f3n multifactor para los paneles de control del alojamiento, el acceso SSH y las interfaces administrativas; monitoreo de actividad de inicio de sesi\u00f3n inusual; restringir la ejecuci\u00f3n de int\u00e9rpretes de shell; auditar trabajos cron y tareas programadas en servidores web; comprobar si se han creado archivos sospechosos en directorios web; y limitar las capacidades de shell de los paneles de control de hosting.<\/p>\n<p>\u00abEl uso constante de cookies como mecanismo de control sugiere la reutilizaci\u00f3n de t\u00e9cnicas web establecidas\u00bb, dijo Microsoft. \u00abAl trasladar la l\u00f3gica de control a las cookies, los actores de amenazas permiten un acceso persistente posterior al compromiso que puede evadir muchos controles tradicionales de inspecci\u00f3n y registro\u00bb.<\/p>\n<p>\u00abEn lugar de depender de complejas cadenas de exploits, el actor de la amenaza aprovech\u00f3 rutas de ejecuci\u00f3n leg\u00edtimas ya presentes en el entorno, incluidos los procesos del servidor web, los componentes del panel de control y la infraestructura cron, para preparar y preservar el c\u00f3digo malicioso\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Los actores de amenazas utilizan cada vez m\u00e1s cookies HTTP como canal de control para shells web basados \u200b\u200ben PHP en servidores Linux y para lograr la ejecuci\u00f3n remota de c\u00f3digo, seg\u00fan los hallazgos del equipo de investigaci\u00f3n de seguridad de Microsoft Defender. \u00abEn lugar de exponer la ejecuci\u00f3n de comandos a trav\u00e9s de par\u00e1metros [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[1550,1551,1553,24,1547,15,50,1552,1549,127,87,1548,76,234],"class_list":["post-452","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-controlados","tag-cookies","tag-cron","tag-cyberdefensa-mx","tag-detalla","tag-linux","tag-microsoft","tag-persisten","tag-php","tag-por","tag-servidores","tag-shells","tag-traves","tag-web"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/452","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=452"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/452\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/422"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=452"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=452"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=452"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}