SesameOp bakdør
Forskere har avdekket en ny bakdør, sporet som SesameOp, som utnytter OpenAI Assistants API som en ukonvensjonell kommando-og-kontroll (C2)-kanal. I stedet for å bruke typisk nettverksinfrastruktur eller skreddersydde C2-servere, misbruker skadevaren Assistants API som en skjult relé- og lagringsmekanisme for å hente krypterte instruksjoner og returnere utførelsesresultater, slik at operatører kan blande ondsinnet trafikk med legitime API-forespørsler.
Innholdsfortegnelse
Hvordan den ble funnet
Implantatet ble identifisert i juli 2025 under en etterforskning av et sofistikert innbrudd der ukjente angripere hadde holdt fotfeste i flere måneder. Forskerne publiserte ikke identiteten til den berørte organisasjonen. Oppfølgingsanalyse avdekket et flerlags innbrudd med vedvarende mekanismer og komponenter i miljøet som samlet støttet langsiktig tilgang – atferd i samsvar med spionasjemål.
Teknisk arkitektur
SesameOps infeksjonskjede inkluderer en laste-DLL kalt Netapi64.dll og en .NET-bakdørskomponent kalt OpenAIAgent.Netapi64. Viktige tekniske egenskaper:
- DLL-en er sterkt tilslørt med Eazfuscator.NET og designet for stealth og utholdenhet.
- Ved kjøretid injiseres lasteren i vertsprosessen via .NET AppDomainManager-manipulasjon, utløst av en laget .config-fil parret med den legitime vertskjørbare filen.
Angriperne kompromitterte også Microsoft Visual Studio-verktøy ved å sette inn skadelige biblioteker, ved hjelp av en AppDomainManager-injeksjonsteknikk for å sikre utholdenhet og kodekjøring fra tilsynelatende legitime verktøykjeder.
Internt verktøy
Etterforskerne beskrev et «komplekst arrangement» av interne nettskall knyttet til vedvarende, strategisk plasserte ondsinnede prosesser. Disse prosessene fungerer som lokale orkestratorer, utfører kommandoer som videresendes via Assistants API og overfører oppgaver til andre implanterte komponenter. Den kombinerte designen holdt angriperens aktivitet sammenvevd med vanlige utvikler- og administrative verktøy, noe som gjorde deteksjon vanskeligere.
Hvordan OpenAIs Assistants API misbrukes
Bakdøren bruker Assistent-API-et som et meldingslager/-relé. Kommandoer hentes fra Assistent-listen og tolkes via beskrivelsesfeltet; implementeringen gjenkjenner tre instruksjonstyper:
SØVN – instruerer implantatet til å sette en tråd på pause i et spesifisert intervall.
Nyttelast – ber agenten trekke ut kode eller instruksjoner fra instruksjonsfeltet og kjøre dem i en egen tråd.
Resultat – signaliserer at utgangen av kjøringen skal sendes tilbake til Assistants API med beskrivelsen satt til «Resultat», slik at operatøren kan hente resultatet.
Driftsflyt
Når den er aktiv, sender bakdøren en forespørsel til Assistants API for å hente krypterte kommandoer. Den dekoder og utfører nyttelaster lokalt, og sender deretter utførelsesresultatene tilbake til API-et som meldinger. Denne relémodellen gjør et legitimt skybasert AI API om til en mellommann for å utstede oppgaver og motta utdata, og kamuflerer effektivt angripertrafikk innenfor forventede API-bruksmønstre.
Attribusjon, intensjon og strategiske mål
For øyeblikket finnes det ingen offentlig tilskrivelse til kampanjen. Implantatets vekt på vedvarende tilstedeværelse, skjult kontroll og lang oppholdstid tyder sterkt på at angriperne siktet mot vedvarende tilgang – i samsvar med etterretningsinnsamling eller langvarig spionasjeaktivitet. Saken demonstrerer også en bredere trend: misbruk av mye brukte, legitime skytjenester for å unngå oppdagelse og komplisere hendelsesrespons.
Det er verdt å merke seg at Assistants API etter planen skal avvikles i august 2026 og vil bli erstattet av Responses API, noe som kan påvirke hvordan lignende misbruksvektorer fungerer i fremtiden.
Takeaway
SesameOp er bemerkelsesverdig fordi den omdanner et vanlig AI-integrasjonsendepunkt til en skjult C2-kanal, og kombinerer .NET AppDomainManager-injeksjon, obfuskerte DLL-er, kompromittert utviklingsverktøy og interne webskall for å oppnå varig, vanskelig å oppdage kontroll. Kampanjen fremhever behovet for at forsvarere overvåker uvanlig oppførsel fra utviklerverktøy, unormal bruk av sky-API-er fra interne verter og tegn på DLL-injeksjon eller kjøretidsmanipulasjon i .NET-miljøer.
