सेसमऑप बैकडोर

शोधकर्ताओं ने एक नए बैकडोर का पता लगाया है, जिसे SesameOp नाम से ट्रैक किया गया है, जो OpenAI Assistants API को एक अपरंपरागत कमांड-एंड-कंट्रोल (C2) चैनल के रूप में इस्तेमाल करता है। यह मैलवेयर, सामान्य नेटवर्क इन्फ्रास्ट्रक्चर या कस्टम C2 सर्वर का इस्तेमाल करने के बजाय, Assistants API का इस्तेमाल एक गुप्त रिले और स्टोरेज मैकेनिज्म के रूप में करता है ताकि एन्क्रिप्टेड निर्देशों को प्राप्त किया जा सके और निष्पादन परिणाम लौटाए जा सकें, जिससे ऑपरेटर्स को वैध API अनुरोधों के साथ दुर्भावनापूर्ण ट्रैफ़िक को मिलाने का मौका मिल जाता है।

यह कैसे पाया गया

जुलाई 2025 में एक जटिल घुसपैठ की जाँच के दौरान इस इम्प्लांट की पहचान हुई, जहाँ अज्ञात हमलावरों ने कई महीनों तक अपनी पकड़ बनाए रखी थी। शोधकर्ताओं ने प्रभावित संगठन की पहचान प्रकाशित नहीं की। अनुवर्ती विश्लेषण से एक बहुस्तरीय घुसपैठ का पता चला जिसमें स्थायी तंत्र और पर्यावरण के भीतर के घटक थे जो सामूहिक रूप से दीर्घकालिक पहुँच को बढ़ावा देते थे - यह व्यवहार जासूसी उद्देश्यों के अनुरूप था।

तकनीकी वास्तुकला

SesameOp की संक्रमण श्रृंखला में Netapi64.dll नामक एक लोडर DLL और OpenAIAgent.Netapi64 नामक एक .NET बैकडोर घटक शामिल है। मुख्य तकनीकी विशेषताएँ:

• DLL को Eazfuscator.NET के साथ अत्यधिक अस्पष्ट बनाया गया है तथा इसे गुप्त एवं स्थायी बनाए रखने के लिए डिजाइन किया गया है।
• रनटाइम पर, लोडर को .NET AppDomainManager मैनिपुलेशन के माध्यम से होस्ट प्रक्रिया में इंजेक्ट किया जाता है, जो वैध होस्ट निष्पादन योग्य के साथ युग्मित एक तैयार .config फ़ाइल द्वारा ट्रिगर किया जाता है।

हमलावरों ने दुर्भावनापूर्ण लाइब्रेरीज़ डालकर, AppDomainManager इंजेक्शन तकनीक का उपयोग करके, माइक्रोसॉफ्ट विजुअल स्टूडियो उपयोगिताओं से भी समझौता किया, ताकि प्रतीत होता है कि वैध टूलचेन से दृढ़ता और कोड निष्पादन सुनिश्चित किया जा सके।

आंतरिक टूलींग

जांचकर्ताओं ने आंतरिक वेब शेल्स की एक 'जटिल व्यवस्था' का वर्णन किया है जो लगातार, रणनीतिक रूप से स्थापित दुर्भावनापूर्ण प्रक्रियाओं से जुड़ी हुई है। ये प्रक्रियाएँ स्थानीय ऑर्केस्ट्रेटर के रूप में कार्य करती हैं, असिस्टेंट एपीआई के माध्यम से प्रेषित आदेशों को निष्पादित करती हैं और अन्य प्रत्यारोपित घटकों को कार्य सौंपती हैं। इस संयुक्त डिज़ाइन ने विरोधी की गतिविधि को सामान्य डेवलपर और प्रशासनिक उपकरणों के साथ गुंथे रखा, जिससे पता लगाना और भी मुश्किल हो गया।

ओपनएआई के असिस्टेंट्स एपीआई का दुरुपयोग कैसे किया जाता है

बैकडोर, असिस्टेंट एपीआई को संदेश संग्रह/रिले के रूप में उपयोग करता है। कमांड असिस्टेंट सूची से प्राप्त किए जाते हैं और विवरण फ़ील्ड के माध्यम से व्याख्या किए जाते हैं; कार्यान्वयन तीन प्रकार के निर्देशों को पहचानता है:

स्लीप - इम्प्लांट को एक निर्दिष्ट अंतराल के लिए धागे को रोकने का निर्देश देता है।

पेलोड - एजेंट को निर्देश फ़ील्ड से कोड या निर्देश निकालने और उन्हें एक अलग थ्रेड में चलाने का निर्देश देता है।

परिणाम - संकेत देता है कि निष्पादन आउटपुट को 'परिणाम' पर सेट विवरण के साथ सहायक API पर वापस पोस्ट किया जाना चाहिए, ताकि ऑपरेटर परिणाम प्राप्त कर सके।

परिचालन प्रवाह

सक्रिय होने पर, बैकडोर एन्क्रिप्टेड कमांड प्राप्त करने के लिए असिस्टेंट एपीआई से पूछताछ करता है। यह स्थानीय रूप से पेलोड को डिकोड और निष्पादित करता है और फिर निष्पादन परिणामों को संदेशों के रूप में एपीआई पर वापस भेजता है। यह रिले मॉडल एक वैध क्लाउड एआई एपीआई को कार्य जारी करने और आउटपुट प्राप्त करने के लिए एक मध्यस्थ में बदल देता है, जिससे हमलावर ट्रैफ़िक को अपेक्षित एपीआई उपयोग पैटर्न के भीतर प्रभावी ढंग से छिपाया जा सकता है।

विशेषता, इरादा और रणनीतिक उद्देश्य

फिलहाल, इस अभियान के लिए कोई सार्वजनिक जिम्मेदारी नहीं है। इम्प्लांट में दृढ़ता, गुप्त नियंत्रण और लंबे समय तक रुकने पर ज़ोर दिया गया है, जिससे यह स्पष्ट होता है कि हमलावरों का लक्ष्य निरंतर पहुँच हासिल करना था—जो खुफिया जानकारी इकट्ठा करने या लंबी जासूसी गतिविधियों के अनुरूप था। यह मामला एक व्यापक प्रवृत्ति को भी दर्शाता है: पता लगाने से बचने और घटना की प्रतिक्रिया को जटिल बनाने के लिए व्यापक रूप से इस्तेमाल की जाने वाली, वैध क्लाउड सेवाओं का दुरुपयोग।

यह ध्यान देने योग्य है कि सहायक API को अगस्त 2026 में बंद कर दिया जाएगा और इसे रिस्पॉन्स API द्वारा प्रतिस्थापित कर दिया जाएगा, जो भविष्य में इसी तरह के दुरुपयोग वैक्टर के संचालन को प्रभावित कर सकता है।

टेकअवे

SesameOp इसलिए उल्लेखनीय है क्योंकि यह एक मुख्यधारा के AI एकीकरण एंडपॉइंट को एक गुप्त C2 चैनल में पुनर्प्रयुक्त करता है, .NET AppDomainManager इंजेक्शन, अस्पष्ट DLL, समझौता किए गए विकास टूल और आंतरिक वेब शेल को मिलाकर टिकाऊ, पहचान में मुश्किल नियंत्रण प्राप्त करता है। यह अभियान असामान्य डेवलपर-टूल व्यवहार, आंतरिक होस्ट से क्लाउड API के असामान्य उपयोग, और .NET परिवेशों में DLL इंजेक्शन या रनटाइम हेरफेर के संकेतों की निगरानी करने के लिए रक्षकों की आवश्यकता पर प्रकाश डालता है।