A Microsoft divulgou a descoberta do SesameOp, um backdoor sofisticado que utiliza a API OpenAI Assistants como canal de comando e controle (C2). Em vez de empregar canais tradicionais — como servidores C2 próprios ou serviços de nuvem suspeitos — os atacantes passaram a usar a infraestrutura da OpenAI para transmitir comandos de forma discreta e difícil de detectar.
O que é o SesameOp?
O SesameOp é um backdoor customizado projetado para:
- Manter persistência em sistemas comprometidos;
- Buscar comandos na API da OpenAI e executá-los localmente;
- Enviar os resultados de volta através da mesma API.
Segundo o time DART (Detection and Response Team) da Microsoft, o malware foi identificado em julho de 2025 durante investigação de um ataque em que invasores permaneceram por meses no ambiente alvo.
Como funciona a cadeia de infecção
A cadeia de infecção reportada inclui:
- Um loader identificado como Netapi64.dll;
- Um backdoor .NET chamado OpenAIAgent.Netapi64;
- Uso da OpenAI Assistants API como repositório para comandos cifrados.
A DLL está fortemente ofuscada (Eazfuscator.NET) e é carregada por meio de injeção via .NET AppDomainManager, configurada por um arquivo .config malicioso que acompanha o executável hospedeiro.
Comunicação com a OpenAI: tipos de instrução
O malware lê entradas na lista de Assistants e interpreta três tipos de instrução no campo description:
- SLEEP — pausa a thread por um período definido;
- Payload — extrai o código das instruções e o executa em thread separada;
- Result — envia a saída da execução de volta como mensagem marcada “Result”.
Técnicas adicionais usadas pelos atacantes
Durante a investigação, a Microsoft também identificou:
- Web shells internos que executam comandos repassados por processos persistentes;
- Comprometimento de utilitários do Visual Studio através de bibliotecas maliciosas (injeção AppDomainManager);
- Estratégias para se misturar ao tráfego legítimo e evitar detecções tradicionais.
Impacto e motivação provável
O design do SesameOp indica objetivos de acesso prolongado e possível espionagem — manter controle long-term sobre sistemas comprometidos sem levantar suspeitas. Ainda não há atribuição pública dos responsáveis pelo ataque.
Ação tomada e recomendações
A Microsoft compartilhou seus achados com a OpenAI, que desativou a chave de API e a conta suspeitas. Para reduzir riscos semelhantes, recomenda-se:
- Revisar e monitorar o uso de chaves de API e contas de serviços de IA;
- Implementar detecção de comportamentos anômalos em aplicações que usam APIs externas;
- Auditar dependências e bibliotecas do Visual Studio e mecanismos de carregamento dinâmico;
- Garantir ofuscação/assinatura e monitoramento de DLLs carregadas dinamicamente;
- Segmentar redes e limitar permissões de execução para reduzir superfície de ataque.
Conclusão
O caso SesameOp mostra como atores maliciosos adaptam técnicas para abusar de ferramentas legítimas, como APIs de IA, tornando a detecção mais complexa. Organizações precisam atualizar controles de segurança e monitoramento para incluir canais não tradicionais — especialmente quando adotam serviços de inteligência artificial em produção.
