Microsoft describe una técnica de webshell que apuesta por el sigilo extremo: en lugar de recibir comandos mediante parámetros más visibles, el implante se controla a través de cookies HTTP, una vía mucho menos llamativa para herramientas y análisis centrados en patrones tradicionales de tráfico o de ejecución.
La táctica es relevante porque convierte una parte habitual de la comunicación web en canal de control encubierto. En entornos de hosting Linux, donde el volumen de tráfico puede ser alto y heterogéneo, esconder instrucciones dentro de cookies permite a los atacantes mantener acceso con un perfil bajo y reducir las probabilidades de detección temprana.
El caso también ilustra una constante del ataque moderno: no siempre gana quien usa la técnica más compleja, sino quien consigue mezclarse mejor con lo que parece normal. Un webshell controlado por cookies no necesita hacer demasiado ruido para resultar eficaz; le basta con explotar la confianza implícita en un flujo cotidiano del servidor.
Desde una perspectiva editorial, la historia funciona porque recuerda que la evasión no siempre pasa por malware más sofisticado, sino por usar canales triviales de forma inesperada. Y en seguridad, esos desvíos discretos suelen ser los más peligrosos.