Microsoft detecta backdoor "SesameOp" que utiliza la API de OpenAI

Iniciado por AXCESS, Noviembre 04, 2025, 04:17:21 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Noviembre 04, 2025, 04:17:21 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Microsoft ha revelado detalles de una nueva puerta trasera denominada SesameOp que utiliza la interfaz de programación de aplicaciones (API) de OpenAI Assistants para comunicaciones de comando y control (C2).

"En lugar de recurrir a métodos más tradicionales, el atacante responsable de esta puerta trasera abusa de OpenAI como canal C2 para comunicarse sigilosamente y orquestar actividades maliciosas dentro del entorno comprometido", declaró el Equipo de Detección y Respuesta (DART) de Microsoft Incident Response en un informe técnico publicado el lunes.

"Para ello, un componente de la puerta trasera utiliza la API de OpenAI Assistants como mecanismo de almacenamiento o retransmisión para obtener comandos, que el malware ejecuta posteriormente".

El gigante tecnológico afirmó haber descubierto el implante en julio de 2025 como parte de un sofisticado incidente de seguridad en el que atacantes desconocidos lograron mantener la persistencia dentro del entorno objetivo durante varios meses. No se reveló la identidad de la víctima afectada.

Una investigación más exhaustiva sobre la actividad de intrusión ha revelado una compleja red de webshells internas, diseñadas para ejecutar comandos transmitidos desde procesos maliciosos persistentes y estratégicamente ubicados. Estos procesos, a su vez, utilizan utilidades de Microsoft Visual Studio comprometidas mediante bibliotecas maliciosas, una técnica conocida como inyección de AppDomainManager.

SesameOp es una puerta trasera personalizada diseñada para mantener la persistencia y permitir que un atacante gestione de forma encubierta los dispositivos comprometidos, lo que indica que el objetivo principal del ataque era garantizar el acceso a largo plazo para actividades de espionaje.

La API de Asistentes de OpenAI permite a los desarrolladores integrar agentes con inteligencia artificial (IA) directamente en sus aplicaciones y flujos de trabajo. OpenAI tiene previsto descontinuar esta API en agosto de 2026, y la reemplazará con una nueva API de Respuestas.

Según Microsoft, la cadena de infección incluye un componente de carga ("Netapi64.dll") y una puerta trasera basada en .NET ("OpenAIAgent.Netapi64") que utiliza la API de OpenAI como canal de comando y control (C2) para obtener comandos cifrados, los cuales se decodifican y ejecutan localmente. Los resultados de la ejecución se envían a OpenAI como un mensaje.

El mensaje admite tres tipos de valores en el campo de descripción de la lista de Asistentes obtenida de OpenAI:

SLEEP, para permitir que el hilo del proceso entre en modo de espera durante un tiempo determinado.

Carga útil, para extraer el contenido del mensaje del campo de instrucciones e invocarlo en un hilo independiente para su ejecución.

Resultado, para transmitir el resultado procesado a OpenAI como un nuevo mensaje en el que el campo de descripción se establece en "Resultado" para indicar al atacante que la salida de la ejecución de la carga útil está disponible.

Actualmente se desconoce quién está detrás del malware, pero este desarrollo indica un abuso continuo de herramientas legítimas con fines maliciosos para camuflarse entre la actividad normal de la red y eludir la detección. Microsoft afirmó haber compartido sus hallazgos con OpenAI, que identificó y deshabilitó una clave API y la cuenta asociada que se cree que utilizó el atacante.

"La biblioteca de vínculos dinámicos (DLL) está altamente ofuscada mediante You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login y está diseñada para el sigilo, la persistencia y la comunicación segura mediante la API de Asistentes de OpenAI", afirmó la compañía. "Netapi64.dll se carga en tiempo de ejecución en el ejecutable principal mediante la inyección de AppDomainManager de .NET, según las instrucciones de un archivo .config manipulado que acompaña al ejecutable principal".

Fuente:
The Hacker News
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario