A Microsoft biztonsági kutatói egy új, SesameOp névre keresztelt backdoor kártevőt fedeztek fel, amely az OpenAI Assistants API-t használja titkos kommunikációs csatornaként a támadók parancsainak továbbítására.
A vállalat Detection and Response Team (DART) egysége egy 2025 júliusában történt kibertámadás kivizsgálása során azonosította a kártevőt. A vizsgálat megállapította, hogy a SesameOp lehetővé tette a támadók számára a tartós hozzáférést a kompromittált rendszerekhez, anélkül, hogy hagyományos, könnyen észlelhető infrastruktúrát használtak volna.
A kártevő terjesztése után a kiberbűnözők több hónapon keresztül képesek voltak távolról irányítani a megfertőzött eszközöket – mindezt legitim felhőszolgáltatásokon keresztül, nem pedig saját, gyanút keltő szerverekről. Ez a megközelítés jelentősen megnehezítette a támadás felismerését és a válaszlépések során történő blokkolását.
A Microsoft Incident Response csapatának jelentése szerint:
„Ahelyett, hogy hagyományos C2 (command-and-control) infrastruktúrát használnának, a támadók az OpenAI-t használják parancs- és vezérlőcsatornaként, hogy elrejtsék kommunikációjukat és rosszindulatú tevékenységeiket koordinálják a kompromittált környezetben.”
A jelentés szerint a SesameOp egyik komponense az OpenAI Assistants API-t alkalmazza adattárolási vagy átjátszómechanizmusként, amelyen keresztül a kártevő tömörített és titkosított parancsokat tölt le, majd ezeket a rendszerben végrehajtja. Az ellopott információkat a malware szimmetrikus és aszimmetrikus titkosítás kombinációjával védi, majd ugyanazon az API-csatornán keresztül továbbítja vissza a támadóknak.
A DART kutatói által megfigyelt támadási lánc egy erősen obfuszkált betöltőkomponenst és egy .NET-alapú backdoort tartalmazott, amelyet a támadók .NET AppDomainManager injektálásával telepítettek több Microsoft Visual Studio segédprogramba. A SesameOp kitartó jelenlétét belső webshell-ek és stratégiailag precízen elhelyezett rosszindulatú folyamatok biztosítják, amelyek kifejezetten hosszú távú kémkedési műveletekre lettek kialakítva.
A Microsoft hangsúlyozta, hogy a kártevő nem az OpenAI-platform sebezhetőségét vagy hibás konfigurációját használta ki, hanem az Assistants API beépített funkcióit fordította rosszindulatú célokra. Az OpenAI-jal együttműködve sikerült azonosítani és letiltani a támadásokhoz használt fiókot és API-kulcsot. Az API-t egyébként a tervek szerint 2026 augusztusában vonják ki a forgalomból.
A vállalat közleménye szerint:
„A SesameOp lopakodó működése összhangban állt a támadás céljával, amely egyértelműen a hosszú távú, kémkedési jellegű jelenlét fenntartása volt.”
A SesameOp által jelentett fenyegetés mérséklése érdekében a Microsoft azt javasolja a biztonsági csapatoknak, hogy:
- ellenőrizzék a tűzfalnaplókat a gyanús kimenő forgalom azonosítására,
- engedélyezzék a tamper protection funkciót,
- konfigurálják a végpontvédelmi rendszereket blokkoló üzemmódban,
- valamint folyamatosan monitorozzák az engedély nélküli kapcsolódásokat külső szolgáltatásokhoz!
Ez az incidens jól mutatja, hogy a támadók egyre gyakrabban élnek vissza legitim AI- és felhőszolgáltatásokkal a detektálás megkerülése érdekében, ezért a védekezési stratégiáknak a mesterséges intelligencia szolgáltatások potenciális kockázatait is figyelembe kell venniük.