Porte dérobée SesameOp

Par Mezo en Logiciels malveillants, Portes dérobées

Se traduisent par :

Des chercheurs ont découvert une nouvelle porte dérobée, nommée SesameOp, qui exploite l'API Assistants d'OpenAI comme canal de commande et de contrôle (C2) non conventionnel. Au lieu d'utiliser une infrastructure réseau classique ou des serveurs C2 dédiés, le logiciel malveillant détourne l'API Assistants comme relais et mécanisme de stockage furtif pour récupérer des instructions chiffrées et renvoyer les résultats d'exécution, permettant ainsi aux opérateurs de fusionner le trafic malveillant avec des requêtes API légitimes.

Table des matières

Comment il a été découvert

L'implant a été identifié en juillet 2025 lors d'une enquête sur une intrusion sophistiquée au cours de laquelle des attaquants inconnus avaient maintenu une présence pendant plusieurs mois. Les chercheurs n'ont pas divulgué l'identité de l'organisation touchée. Une analyse complémentaire a révélé une intrusion à plusieurs niveaux, dotée de mécanismes de persistance et de composants intégrés à l'environnement, permettant un accès prolongé – un comportement compatible avec des objectifs d'espionnage.

Architecture technique

La chaîne d'infection de SesameOp comprend une DLL de chargement nommée Netapi64.dll et un composant de porte dérobée .NET étiqueté OpenAIAgent.Netapi64. Principales caractéristiques techniques :

La DLL est fortement obfusquée avec Eazfuscator.NET et conçue pour la furtivité et la persistance.
Lors de l'exécution, le chargeur est injecté dans le processus hôte via une manipulation de .NET AppDomainManager, déclenchée par un fichier .config spécialement conçu et associé à l'exécutable hôte légitime.

Les attaquants ont également compromis les utilitaires Microsoft Visual Studio en insérant des bibliothèques malveillantes, en utilisant une technique d'injection AppDomainManager pour assurer la persistance et l'exécution de code à partir de chaînes d'outils apparemment légitimes.

Outillage interne

Les enquêteurs ont décrit un système complexe de shells web internes liés à des processus malveillants persistants et stratégiquement positionnés. Ces processus agissent comme des orchestrateurs locaux, exécutant des commandes relayées par l'API Assistants et déléguant des tâches à d'autres composants implantés. Cette conception intégrée permettait à l'attaquant de se fondre dans les outils de développement et d'administration courants, rendant ainsi sa détection plus difficile.

Comment l’API Assistants d’OpenAI est détournée

La porte dérobée utilise l'API Assistants comme système de stockage et de relais de messages. Les commandes sont extraites de la liste des Assistants et interprétées via le champ de description ; l'implémentation reconnaît trois types d'instructions :

SLEEP — indique à l'implant de suspendre un fil pendant un intervalle spécifié.

Charge utile — indique à l'agent d'extraire du code ou des instructions du champ d'instructions et de les exécuter dans un thread séparé.

Résultat — indique que le résultat de l'exécution doit être renvoyé à l'API Assistants avec la description définie sur « Résultat », afin que l'opérateur puisse récupérer le résultat.

Flux opérationnel

Lorsqu'elle est active, la porte dérobée interroge l'API Assistants pour récupérer des commandes chiffrées. Elle décode et exécute les charges utiles localement, puis renvoie les résultats d'exécution à l'API sous forme de messages. Ce modèle de relais transforme une API d'IA cloud légitime en un intermédiaire pour l'émission de tâches et la réception des résultats, camouflant ainsi efficacement le trafic malveillant au sein des schémas d'utilisation habituels de l'API.

Attribution, intention et objectifs stratégiques

À l'heure actuelle, aucune attribution publique n'a été établie concernant cette campagne. L'accent mis par l'implant sur la persistance, le contrôle discret et la longue durée d'activité suggère fortement que les attaquants visaient un accès continu, ce qui correspond à une activité de collecte de renseignements ou d'espionnage prolongée. Ce cas illustre également une tendance plus générale : le détournement de services cloud légitimes et largement utilisés pour échapper à la détection et compliquer la réponse aux incidents.

Il convient de noter que l'API Assistants devrait être dépréciée en août 2026 et sera remplacée par l'API Responses, ce qui pourrait affecter le fonctionnement de vecteurs d'abus similaires à l'avenir.

Points clés

SesameOp se distingue par sa capacité à détourner un point d'accès d'intégration d'IA courant en un canal C2 clandestin, combinant injection dans .NET AppDomainManager, DLL obfusquées, outils de développement compromis et shells web internes pour obtenir un contrôle durable et difficile à détecter. Cette campagne souligne l'importance pour les équipes de sécurité de surveiller les comportements inhabituels des outils de développement, l'utilisation anormale des API cloud depuis les hôtes internes et les signes d'injection de DLL ou de manipulation à l'exécution dans les environnements .NET.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Porte dérobée SesameOp

Comment il a été découvert

Architecture technique

Outillage interne

Comment l’API Assistants d’OpenAI est détournée

Flux opérationnel

Attribution, intention et objectifs stratégiques

Points clés

Soumettre un Commentaire

Tendance

Extension tropicale

Unsfeths.com

Arnaque à la faille de sécurité de Trust Wallet

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord est bloqué sur un écran gris

Discord affiche un écran noir lors du partage d'écran