API de assistentes OpenAI explorada no backdoor ‘SesameOp’

API de assistentes OpenAI explorada no backdoor ‘SesameOp’

Os agentes de ameaças estão armando os assistentes OpenAI Interface de programação de aplicativos (API) para implantar um backdoor e gerenciar dispositivos comprometidos remotamente.

O backdoor foi descoberto pelos pesquisadores da Equipe de Detecção e Resposta (DART) da Microsoft Incident Response em julho de 2025, enquanto respondia a um sofisticado incidente de segurança, em que os agentes da ameaça mantiveram presença no ambiente por vários meses.

A investigação descobriu um arranjo complexo de shells internos da web que aproveitam vários utilitários do Microsoft Visual Studio que foram comprometidos com bibliotecas maliciosas.

Esses mecanismos sofisticados eram responsáveis por executar comandos transmitidos de processos maliciosos persistentes e estrategicamente colocados, bem como um backdoor que os pesquisadores do DART chamaram de ‘SesameOp’.

Em vez de depender de métodos mais tradicionais, o backdoor explora a API legítima de assistentes da OpenAI para comunicações de comando e controle (C2) entre os agentes de ameaças e os dispositivos comprometidos.

Espera-se que a API de assistentes seja descontinuada pela OpenAI em agosto de 2026 e substituída pela API de respostas.

Os pesquisadores do Microsoft DART compartilharam suas descobertas sobre o SesameOp em um relatório publicado em 3 de novembro.

SesameOp usa a API OpenAI Assistants para buscar comandos

O SesameOp é um backdoor secreto criado especificamente para manter a persistência e permitir que um agente de ameaças gerencie furtivamente os dispositivos comprometidos.

O mecanismo de backdoor é composto por um carregador na forma de DLL (biblioteca de vínculo dinâmico), Netapi64.dll, e um backdoor baseado em NET, OpenAIAgent.Netapi64, que aproveita o OpenAI como um canal C2.

O arquivo DLL é fortemente ofuscado usando Eazfuscator.NET e foi projetado para comunicação furtiva, persistente e segura usando a API OpenAI Assistants.

Netapi64.dll é carregado em tempo de execução no executável do host por meio de um método de evasão de defesa chamado Injeção do .NET AppDomainManager, conforme instruído por um arquivo .config criado que acompanha o executável do host.

Enquanto isso, o OpenAIAgent.Netapi64, a principal funcionalidade que permite a operação do backdoor, não utiliza kits de desenvolvimento de software (SDKs) do agente OpenAI ou recursos de execução de modelos, apesar do que seu nome de arquivo possa sugerir.

“Em vez disso, ele usa a API OpenAI Assistants para buscar comandos, que o malware descriptografa e executa localmente. Depois que as tarefas são concluídas, ele envia os resultados de volta para a OpenAI como uma mensagem. Para ficar fora do radar, ele usa compactação e criptografia, garantindo que tanto a carga útil de entrada quanto os resultados de saída permaneçam ocultos”, escreveram os pesquisadores do DART no relatório.

A investigação de julho também revelou técnicas sofisticadas empregadas para proteger e ofuscar as comunicações, incluindo compressão de carga útil para minimizar o tamanho e mecanismos de criptografia em camadas simétricos e assimétricos para proteger os dados de comando e os resultados exfiltrados.

Recomendações de mitigação da Microsoft contra o SesameOp

Em seu relatório, a Microsoft recomendou as seguintes mitigações para reduzir o impacto da ameaça SesameOp:

  • Audite e revise firewalls e logs de servidor web com frequência
  • Use o Firewall do Windows Defender, os sistemas de prevenção de intrusão e o firewall de rede para bloquear as comunicações do servidor C2 entre pontos de extremidade sempre que possível
  • Revise e defina as configurações de firewall e proxy de perímetro para limitar o acesso não autorizado aos serviços, incluindo conexões por meio de portas não padrão
  • Verifique se a proteção contra adulteração está habilitada no Microsoft Dender for Endpoint
  • Execute a detecção e a resposta do ponto de extremidade emmodo de bloqueiopara que o Microsoft Defender para Ponto de Extremidade possa bloquear artefatos mal-intencionados, mesmo quando o antivírus que não é da Microsoft não detectar a ameaça ou quando o Microsoft Defender Antivírus estiver em execução no modo passivo
  • Configureinvestigação e correçãono modo totalmente automatizado para permitir que o Microsoft Defender para Ponto de Extremidade tome medidas imediatas em alertas para resolver violações, reduzindo significativamente o volume de alertas
  • Ativar a proteção contra aplicativos potencialmente indesejados (PUA) no modo de bloqueiono Microsoft Defender Antivírus
  • Ativaproteção fornecida pela nuvemno Microsoft Defender Antivírus ou o equivalente para seu produto antivírus para cobrir ferramentas e técnicas de invasores em rápida evolução
  • Ativar o Microsoft Defender Antivírusproteção em tempo real

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.