SesameOp Backdoor
I ricercatori hanno scoperto una nuova backdoor, identificata come SesameOp, che sfrutta l'API OpenAI Assistants come canale di comando e controllo (C2) non convenzionale. Anziché utilizzare la tipica infrastruttura di rete o server C2 personalizzati, il malware sfrutta l'API Assistants come un meccanismo di inoltro e archiviazione furtivo per recuperare istruzioni crittografate e restituire risultati di esecuzione, consentendo agli operatori di combinare traffico dannoso con richieste API legittime.
Sommario
Come è stato trovato
L'impianto è stato identificato nel luglio 2025 durante un'indagine su un'intrusione sofisticata in cui aggressori sconosciuti avevano mantenuto punti d'appoggio per diversi mesi. I ricercatori non hanno pubblicato l'identità dell'organizzazione interessata. Un'analisi di follow-up ha rivelato un'intrusione multistrato con meccanismi di persistenza e componenti ambientali che collettivamente supportavano l'accesso a lungo termine, un comportamento coerente con gli obiettivi di spionaggio.
Architettura tecnica
La catena di infezione di SesameOp include una DLL loader denominata Netapi64.dll e un componente backdoor .NET denominato OpenAIAgent.Netapi64. Caratteristiche tecniche principali:
- La DLL è fortemente offuscata con Eazfuscator.NET ed è progettata per essere invisibile e persistente.
- In fase di esecuzione, il caricatore viene iniettato nel processo host tramite la manipolazione di .NET AppDomainManager, attivata da un file .config creato appositamente e abbinato all'eseguibile host legittimo.
Gli aggressori hanno compromesso anche le utility di Microsoft Visual Studio inserendo librerie dannose, utilizzando una tecnica di iniezione di AppDomainManager per garantire la persistenza e l'esecuzione del codice da toolchain apparentemente legittime.
Utensili interni
Gli investigatori hanno descritto una "complessa disposizione" di web shell interne collegate a processi dannosi persistenti e posizionati strategicamente. Tali processi agiscono come orchestratori locali, eseguendo comandi trasmessi tramite l'API Assistants e assegnando attività ad altri componenti impiantati. La progettazione combinata ha mantenuto l'attività dell'avversario interconnessa con i normali strumenti di sviluppo e amministrazione, rendendo più difficile il rilevamento.
Come viene abusata l'API degli assistenti di OpenAI
La backdoor utilizza l'API degli Assistenti come archivio/relay di messaggi. I comandi vengono recuperati dall'elenco degli Assistenti e interpretati tramite il campo descrizione; l'implementazione riconosce tre tipi di istruzioni:
SLEEP — indica all'impianto di mettere in pausa un thread per un intervallo specificato.
Payload : indica all'agente di estrarre codice o istruzioni dal campo istruzioni ed eseguirli in un thread separato.
Risultato : segnala che l'output dell'esecuzione deve essere inviato nuovamente all'API degli Assistenti con la descrizione impostata su "Risultato", in modo che l'operatore possa recuperare il risultato.
Flusso operativo
Quando è attiva, la backdoor interroga l'API degli Assistenti per recuperare comandi crittografati. Decodifica ed esegue i payload localmente e quindi invia i risultati dell'esecuzione all'API sotto forma di messaggi. Questo modello di relay trasforma un'API di intelligenza artificiale cloud legittima in un intermediario per l'emissione di attività e la ricezione di output, camuffando efficacemente il traffico degli aggressori all'interno dei modelli di utilizzo previsti dell'API.
Attribuzione, intento e obiettivi strategici
Al momento, non esiste alcuna attribuzione pubblica per la campagna. L'enfasi dell'impianto sulla persistenza, sul controllo occulto e sui lunghi tempi di permanenza suggerisce fortemente che gli aggressori mirassero a un accesso prolungato, coerente con la raccolta di informazioni di intelligence o con un'attività di spionaggio prolungata. Il caso dimostra anche una tendenza più ampia: l'uso improprio di servizi cloud legittimi e ampiamente utilizzati per eludere il rilevamento e complicare la risposta agli incidenti.
Vale la pena notare che l'API degli Assistenti è programmata per essere abbandonata nell'agosto 2026 e sostituita dall'API delle Risposte, il che potrebbe influire sul funzionamento di vettori di abuso simili in futuro.
Da asporto
SesameOp è degno di nota perché riadatta un endpoint di integrazione AI mainstream in un canale C2 nascosto, combinando l'iniezione di .NET AppDomainManager, DLL offuscate, strumenti di sviluppo compromessi e web shell interne per ottenere un controllo duraturo e difficile da rilevare. La campagna evidenzia la necessità per i difensori di monitorare comportamenti insoliti degli strumenti di sviluppo, l'uso anomalo delle API cloud da parte di host interni e i segnali di iniezione di DLL o manipolazione del runtime negli ambienti .NET.
