SesameOp : une backdoor qui utilise l’API Assistants d’OpenAI comme canal C2
Des chercheurs de Microsoft ont identifié une porte de9robe9e ine9dite, baptise9e SesameOp, qui exploite la fonctionnalite9 Assistants d’OpenAI pour relayer des commandes et exfiltrer des re9sultats. Selon Microsoft, la campagne e9tait active depuis plusieurs mois avant d’eatre de9tecte9e et reposait sur des bibliothe8ques .NET charge9es via l’injection AppDomainManager dans des utilitaires Visual Studio compromis.
Me9canisme d’infection
La chaeene d’infection commence par l’injection du chargeur « Netapi64.dll » dans un exe9cutable hf4te via NET AppDomainManager, une technique furtive qui permet d’e9viter les outils de surveillance classiques. Une fois active9, le composant implante9 acce8de e0 l’API Assistants d’OpenAI e0 l’aide d’une cle9 API code9e en dur et utilise l’infrastructure Assistants comme une couche de stockage et de relais.
Les chercheurs expliquent que les Assistants sont des agents d’IA personnalise9s construits sur les mode8les d’OpenAI (par exemple GPT-4) et extensibles par des me9canismes supple9mentaires. Dans le cas de SesameOp, les charges utiles de commande sont inte9gre9es dans les descriptions des Assistants (valeurs possibles : « Sleep », « Payload », « Result »), puis de9chiffre9es, de9compresse9es et exe9cute9es localement. Les re9sultats sont ensuite renvoye9s via la meame API.
Parce que le pirate exploite un service cloud le9gitime pour ses commandes et son contrf4le, la de9tection est rendue plus difficile : il n’y a pas de domaine C2 visible, seulement un trafic d’apparence banale vers api.openai.com. Les chercheurs insistent sur le fait que la plateforme OpenAI n’a pas e9te9 compromisea0: il s’agit d’un abus d’une API le9gitime, pas d’une vulne9rabilite9 du service lui-meame.
Actions prises et recommandations
Microsoft et OpenAI ont de9sactive9 les comptes et cle9s lie9s aux cybercriminels. Microsoft souligne e9galement que l’activation de la protection contre la falsification, de la surveillance en temps re9el et du mode bloc dans Defender aide e0 de9tecter les mouvements late9raux et les sche9mas d’injection utilise9s par SesameOp. Defender Antivirus de9tecte la menace comme « Trojan:MSIL/Sesameop.A (loader) » et « Backdoor: MSIL/Sesameop.A(backdoor) ».
Les e9quipes de se9curite9 sont encourage9es e0 :
- inspecter les journaux pour de9celer des requeates sortantes vers des domaines inattendus, notamment api.openai.com, en particulier depuis les postes des de9veloppeurs ;
- restreindre et re9voquer les cle9s API copie9es dans des binaires ou des de9pf4ts non sfbris ;
- activer la protection contre la falsification et la surveillance en temps re9el sur les endpoints, et appliquer le mode bloc si ne9cessaire ;
- surveiller les techniques d’injection AppDomainManager et les activite9s de chargement de bibliothe8ques .NET non autorise9es ;
- appliquer le principe du moindre privile8ge et segmenter les environnements de de9veloppement pour limiter l’impact d’une compromise.
Contexte et tendances
Les chercheurs rappellent que cet incident illustre un risque croissant : l’inte9gration ge9ne9rative de l’IA dans les processus ope9rationnels et de de9veloppement peut cre9er de nouveaux vecteurs d’abus. Des campagnes re9centes ont montre9 des usages malveillants de l’IA – agents autonomes pour automatiser des chaeenes d’attaque, utilisation de la GenAI pour acce9le9rer des campagnes de ransomware, ou injection dans des assistants de codage.
SesameOp s’inscrit dans cette dynamique en exploitant un point de terminaison public d’IA e0 des fins de commutation et d’exfiltration, rendant la de9tection et la re9ponse plus complexes pour les de9fenseurs.
