Php-Fpm

🔍 Contexte Publié le 2 avril 2026 par la Microsoft Defender Security Research Team, cet article constitue une analyse technique approfondie d’une technique d’attaque observée dans des environnements d’hébergement Linux partagés. L’équipe documente l’abus de webshells PHP contrôlés par cookies HTTP comme canal de commande furtif. 🎯 Technique principale : Cookie-gated PHP webshells Au lieu d’exposer les fonctionnalités malveillantes via des paramètres d’URL ou le corps des requêtes, ces webshells restent dormants jusqu’à la réception de valeurs de cookies spécifiques fournies par l’attaquant. Le mécanisme repose sur la superglobale PHP $_COOKIE, permettant une activation discrète sans modification fréquente des fichiers sur disque. ...

Datadog Security Research a découvert que le groupe de menace Mimo a considérablement évolué, passant de l’attaque de Craft CMS à Magento, une plateforme de commerce électronique, en exploitant des vulnérabilités PHP-FPM. Mimo utilise des mécanismes de persistance sophistiqués avec GSocket, des techniques d’évasion avancées basées sur la mémoire via les appels système memfd_create(), et une infrastructure de commande et de contrôle à plusieurs niveaux. Le groupe monétise les systèmes compromis par le cryptojacking et le proxyjacking, ce qui démontre une sophistication opérationnelle accrue. ...