Pintu Belakang SesameOp
Penyelidik telah menemui pintu belakang baru, dijejaki sebagai SesameOp, yang memanfaatkan OpenAI Assistants API sebagai saluran Command-and-Control (C2) yang tidak konvensional. Daripada menggunakan infrastruktur rangkaian biasa atau pelayan C2 yang dipesan lebih dahulu, perisian hasad menyalahgunakan API Assistants sebagai penyampai senyap dan mekanisme storan untuk mendapatkan semula arahan yang disulitkan dan mengembalikan hasil pelaksanaan, membolehkan pengendali menggabungkan trafik berniat jahat dengan permintaan API yang sah.
Isi kandungan
Bagaimana Ia Ditemui
Implan itu dikenal pasti pada Julai 2025 semasa penyiasatan pencerobohan canggih di mana penyerang tidak dikenali telah mengekalkan kedudukannya selama beberapa bulan. Para penyelidik tidak menerbitkan identiti organisasi yang terjejas. Analisis susulan mendedahkan pencerobohan berbilang lapisan dengan mekanisme kegigihan dan komponen dalam persekitaran yang secara kolektif menyokong akses jangka panjang — tingkah laku yang konsisten dengan objektif pengintipan.
Seni Bina Teknikal
Rantaian jangkitan SesameOp termasuk DLL pemuat bernama Netapi64.dll dan komponen pintu belakang .NET berlabel OpenAIAgent.Netapi64. Ciri teknikal utama:
- DLL sangat dikaburkan dengan Eazfuscator.NET dan direka bentuk untuk senyap dan berterusan.
- Pada masa jalanan, pemuat disuntik ke dalam proses hos melalui manipulasi .NET AppDomainManager, dicetuskan oleh fail .config yang digandingkan dengan hos boleh laku yang sah.
Penyerang juga menjejaskan utiliti Microsoft Visual Studio dengan memasukkan perpustakaan berniat jahat, menggunakan teknik suntikan AppDomainManager untuk memastikan kegigihan dan pelaksanaan kod daripada rantai alat yang kelihatan sah.
Perkakas Dalaman
Penyiasat menerangkan 'susunan kompleks' cangkerang web dalaman yang terikat dengan proses hasad yang berterusan dan diletakkan secara strategik. Proses tersebut bertindak sebagai orkestra tempatan, melaksanakan arahan yang disampaikan melalui API Pembantu dan menyerahkan tugas kepada komponen lain yang diimplan. Reka bentuk gabungan mengekalkan aktiviti musuh terjalin dengan pembangun biasa dan alat pentadbiran, menjadikan pengesanan lebih sukar.
Cara API Pembantu OpenAI Disalahgunakan
Pintu belakang menggunakan API Pembantu sebagai kedai/penyampai mesej. Perintah diambil daripada senarai Pembantu dan ditafsirkan melalui medan penerangan; pelaksanaan mengiktiraf tiga jenis arahan:
TIDUR — mengarahkan implan untuk menjeda benang untuk selang waktu tertentu.
Muatan — mengarahkan ejen untuk mengekstrak kod atau arahan daripada medan arahan dan menjalankannya dalam urutan yang berasingan.
Keputusan — menandakan bahawa output pelaksanaan harus disiarkan kembali ke API Pembantu dengan perihalan ditetapkan kepada 'Hasil', supaya pengendali boleh mendapatkan semula hasilnya.
Aliran Operasi
Apabila aktif, pintu belakang menanyakan API Pembantu untuk mendapatkan semula arahan yang disulitkan. Ia menyahkod dan melaksanakan muatan secara tempatan dan kemudian menyiarkan hasil pelaksanaan kembali ke API sebagai mesej. Model geganti ini menjadikan API AI awan yang sah menjadi perantara untuk mengeluarkan tugas dan menerima output, dengan berkesan menyamarkan trafik penyerang dalam corak penggunaan API yang dijangkakan.
Atribusi, Niat dan Objektif Strategik
Pada masa ini, tiada atribusi awam untuk kempen tersebut. Penekanan implan pada kegigihan, kawalan rahsia dan masa tinggal yang lama amat mencadangkan penyerang menyasarkan akses yang berterusan — konsisten dengan pengumpulan risikan atau aktiviti pengintipan yang berpanjangan. Kes ini juga menunjukkan trend yang lebih luas: penyalahgunaan perkhidmatan awan yang sah digunakan secara meluas untuk mengelak pengesanan dan merumitkan tindak balas insiden.
Perlu diingat bahawa Assistants API dijadualkan untuk ditamatkan pada Ogos 2026 dan akan digantikan oleh Responses API, yang mungkin menjejaskan cara vektor penyalahgunaan yang serupa beroperasi pada masa hadapan.
Bawa pulang
SesameOp terkenal kerana ia menggunakan semula titik akhir penyepaduan AI arus perdana ke dalam saluran C2 terselindung, menggabungkan suntikan .NET AppDomainManager, DLL yang dikelirukan, perkakas pembangunan yang terjejas dan cengkerang web dalaman untuk mencapai kawalan yang tahan lama dan sukar dikesan. Kempen ini menyerlahkan keperluan bagi pembela untuk memantau gelagat alat pembangun yang luar biasa, penggunaan anomali API awan daripada hos dalaman dan tanda suntikan DLL atau manipulasi masa jalan dalam persekitaran .NET.
