SesameOp Backdoor
Badacze odkryli nowatorski backdoor, śledzony jako SesameOp, który wykorzystuje API asystentów OpenAI jako niekonwencjonalny kanał poleceń i kontroli (C2). Zamiast korzystać z typowej infrastruktury sieciowej lub dedykowanych serwerów C2, złośliwe oprogramowanie wykorzystuje API asystentów jako ukryty przekaźnik i mechanizm przechowywania danych do pobierania zaszyfrowanych instrukcji i zwracania wyników wykonania, umożliwiając operatorom łączenie złośliwego ruchu z legalnymi żądaniami API.
Spis treści
Jak to znaleziono
Implant został zidentyfikowany w lipcu 2025 roku podczas śledztwa w sprawie wyrafinowanego włamania, w którym nieznani atakujący utrzymywali się przez kilka miesięcy. Naukowcy nie ujawnili tożsamości organizacji, której dotyczył atak. Dalsza analiza ujawniła wielowarstwowe włamanie z mechanizmami trwałości i komponentami środowiskowymi, które łącznie umożliwiały długotrwały dostęp – zachowanie zgodne z celami szpiegostwa.
Architektura techniczna
Łańcuch infekcji SesameOp obejmuje bibliotekę DLL o nazwie Netapi64.dll oraz komponent backdoora .NET o nazwie OpenAIAgent.Netapi64. Kluczowe parametry techniczne:
- Biblioteka DLL jest mocno zaciemniona za pomocą Eazfuscator.NET i zaprojektowana tak, aby działać w ukryciu i być trwała.
- W czasie wykonywania moduł ładujący jest wstrzykiwany do procesu hosta za pośrednictwem manipulacji .NET AppDomainManager, wyzwalanej przez specjalnie spreparowany plik .config połączony z prawidłowym plikiem wykonywalnym hosta.
Napastnicy zhakowali również narzędzia Microsoft Visual Studio, wstawiając złośliwe biblioteki i wykorzystując technikę wstrzykiwania AppDomainManager, aby zapewnić trwałość i wykonywanie kodu z pozornie legalnych łańcuchów narzędzi.
Narzędzia wewnętrzne
Śledczy opisali „złożony układ” wewnętrznych powłok sieciowych powiązanych z trwałymi, strategicznie rozmieszczonymi procesami złośliwego oprogramowania. Procesy te działają jako lokalni koordynatorzy, wykonując polecenia przekazywane przez API asystentów i przekazując zadania innym wszczepionym komponentom. Połączona struktura sprawiała, że działania atakującego przeplatały się ze standardowymi narzędziami programistycznymi i administracyjnymi, co utrudniało wykrycie.
Jak API asystentów OpenAI jest nadużywane
Tylna furtka wykorzystuje API Asystentów jako magazyn/przekaźnik wiadomości. Polecenia są pobierane z listy Asystentów i interpretowane za pomocą pola opisu; implementacja rozpoznaje trzy typy instrukcji:
SLEEP — poleca implantowi wstrzymanie nici na określony czas.
Ładunek — nakazuje agentowi wyodrębnienie kodu lub instrukcji z pola instrukcji i uruchomienie ich w osobnym wątku.
Wynik — sygnalizuje, że dane wyjściowe wykonania powinny zostać przesłane z powrotem do interfejsu API asystentów z opisem ustawionym na „Wynik”, aby operator mógł pobrać rezultat.
Przepływ operacyjny
Po aktywacji backdoor wysyła zapytania do API Asystentów w celu pobrania zaszyfrowanych poleceń. Dekoduje i wykonuje ładunki lokalnie, a następnie przesyła wyniki wykonania z powrotem do API w postaci komunikatów. Ten model przekaźnikowy przekształca legalne API sztucznej inteligencji w chmurze w pośrednika do zlecania zadań i odbierania wyników, skutecznie maskując ruch atakującego w ramach oczekiwanych wzorców użycia API.
Atrybucja, intencja i cele strategiczne
Obecnie nie ma publicznego potwierdzenia, kto stoi za tą kampanią. Nacisk implantu na trwałość, ukrytą kontrolę i długi czas pozostawania w systemie zdecydowanie sugeruje, że atakujący dążyli do uzyskania długotrwałego dostępu – co jest zgodne z celami gromadzenia danych wywiadowczych lub długotrwałą działalnością szpiegowską. Przypadek ten ukazuje również szerszy trend: nadużywanie powszechnie używanych, legalnych usług w chmurze w celu uniknięcia wykrycia i skomplikowania reakcji na incydenty.
Warto zauważyć, że wycofanie interfejsu API asystentów planowane jest na sierpień 2026 r., a jego miejsce zajmie interfejs API odpowiedzi, co może mieć wpływ na sposób działania podobnych wektorów nadużyć w przyszłości.
Dania na wynos
SesameOp wyróżnia się tym, że przekształca główny punkt końcowy integracji AI w ukryty kanał C2, łącząc wstrzyknięcie kodu .NET AppDomainManager, zaciemnione biblioteki DLL, skompromitowane narzędzia programistyczne i wewnętrzne powłoki webowe, aby zapewnić trwałą i trudną do wykrycia kontrolę. Kampania podkreśla potrzebę monitorowania przez obrońców nietypowego zachowania narzędzi programistycznych, nieprawidłowego korzystania z interfejsów API w chmurze z wewnętrznych hostów oraz oznak wstrzyknięcia kodu DLL lub manipulacji w czasie wykonywania w środowiskach .NET.
