Uma nova técnica adotada por hackers está chamando a atenção da comunidade de segurança: o uso de cookies HTTP como canal de controle para web shells em servidores Linux. A descoberta foi detalhada pela Microsoft Defender Security Research Team, que identificou um padrão crescente de ataques focados em execução remota de código com alto nível de furtividade.

Diferente das abordagens tradicionais — que utilizam parâmetros de URL ou corpo de requisições HTTP para executar comandos — essa técnica utiliza valores específicos de cookies para ativar funcionalidades maliciosas. Isso permite que o código permaneça inativo durante operações normais, sendo acionado apenas quando o invasor envia uma requisição cuidadosamente construída.

O método explora diretamente a variável global $_COOKIE do PHP, permitindo que os dados enviados pelo invasor sejam processados sem necessidade de parsing adicional. Como os cookies fazem parte do tráfego legítimo de aplicações web, essa abordagem dificulta significativamente a detecção por ferramentas de segurança e sistemas de monitoramento.

As implementações observadas variam em complexidade. Em alguns casos, os hackers utilizam loaders altamente ofuscados, que analisam dados estruturados dentro dos cookies para executar cargas maliciosas. Em outros, os scripts fragmentam as informações recebidas para reconstruir funções internas, como manipulação de arquivos e decodificação, executando comandos ou implantando novos artefatos no sistema.

Outro ponto crítico identificado é o uso de tarefas agendadas (cron jobs) para garantir persistência. Após obter acesso inicial — seja por credenciais válidas comprometidas ou exploração de vulnerabilidades conhecidas — os hackers configuram rotinas automatizadas que recriam continuamente o web shell no ambiente. Esse mecanismo de “auto-recuperação” garante que, mesmo após tentativas de remoção, o código malicioso volte a ser implantado.

Essa separação entre persistência (via cron) e execução (via cookies) reduz significativamente os rastros deixados nos logs, tornando o ataque mais silencioso e difícil de detectar. Na prática, o invasor utiliza apenas mecanismos legítimos do próprio sistema — como processos do servidor web e tarefas agendadas — para manter o controle do ambiente comprometido.

Especialistas destacam que esse tipo de ataque não depende de cadeias complexas de exploração, mas sim do abuso de funcionalidades legítimas já existentes na infraestrutura. Isso reforça uma tendência crescente: ataques mais simples em termos técnicos, porém altamente eficazes em evasão e persistência.

Para mitigar os riscos, recomenda-se a adoção de autenticação multifator em acessos administrativos e SSH, monitoramento de atividades suspeitas, auditoria contínua de tarefas agendadas e restrição na execução de interpretadores de shell. Também é fundamental inspecionar arquivos suspeitos em diretórios web e limitar permissões em painéis de controle de hospedagem.

O cenário evidencia uma mudança estratégica no comportamento dos hackers: ao deslocar o controle da execução para elementos comuns do tráfego web, como cookies, eles conseguem operar praticamente invisíveis dentro de ambientes comprometidos.