SesameOp Hintertür
Forscher haben eine neuartige Hintertür entdeckt, die unter dem Namen SesameOp bekannt ist und die OpenAI Assistants API als unkonventionellen Command-and-Control-Kanal (C2) nutzt. Anstatt herkömmliche Netzwerkinfrastruktur oder spezielle C2-Server zu verwenden, missbraucht die Schadsoftware die Assistants API als getarnten Relay- und Speichermechanismus, um verschlüsselte Anweisungen abzurufen und Ausführungsergebnisse zurückzugeben. Dadurch können Angreifer schädlichen Datenverkehr mit legitimen API-Anfragen vermischen.
Inhaltsverzeichnis
Wie es gefunden wurde
Das Implantat wurde im Juli 2025 im Zuge der Untersuchung eines ausgeklügelten Einbruchs entdeckt, bei dem unbekannte Angreifer mehrere Monate lang unbemerkt im System präsent waren. Die Forscher veröffentlichten die Identität der betroffenen Organisation nicht. Weiterführende Analysen ergaben einen vielschichtigen Einbruch mit Persistenzmechanismen und Komponenten innerhalb der Systemumgebung, die gemeinsam einen langfristigen Zugriff ermöglichten – ein Verhalten, das mit Spionageabsichten übereinstimmt.
Technische Architektur
Die Infektionskette von SesameOp umfasst eine Loader-DLL namens Netapi64.dll und eine .NET-Backdoor-Komponente mit der Bezeichnung OpenAIAgent.Netapi64. Wichtigste technische Merkmale:
- Die DLL ist mit Eazfuscator.NET stark verschleiert und auf Tarnung und Persistenz ausgelegt.
- Zur Laufzeit wird der Loader über Manipulationen des .NET AppDomainManager in den Hostprozess injiziert. Auslöser hierfür ist eine speziell präparierte .config-Datei, die mit der legitimen ausführbaren Hostdatei verknüpft ist.
Die Angreifer kompromittierten außerdem die Microsoft Visual Studio-Dienstprogramme, indem sie bösartige Bibliotheken einfügten. Dabei nutzten sie eine AppDomainManager-Injection-Technik, um die Persistenz und Codeausführung aus scheinbar legitimen Toolchains zu gewährleisten.
Innenwerkzeuge
Die Ermittler beschrieben eine komplexe Anordnung interner Web-Shells, die mit persistenten, strategisch platzierten Schadprozessen verknüpft sind. Diese Prozesse fungieren als lokale Orchestrierungszentren, die über die Assistants-API weitergeleitete Befehle ausführen und Aufgaben an andere eingeschleuste Komponenten delegieren. Durch diese Kombination aus Architektur und Architektur konnte der Angreifer seine Aktivitäten nahtlos in die normalen Entwickler- und Administrationswerkzeuge integrieren und so seine Erkennung erschweren.
Wie die Assistants-API von OpenAI missbraucht wird
Die Hintertür nutzt die Assistants-API als Nachrichtenspeicher/-weiterleitung. Befehle werden aus der Assistants-Liste abgerufen und über das Beschreibungsfeld interpretiert; die Implementierung erkennt drei Befehlstypen:
SLEEP — weist das Implantat an, einen Thread für ein bestimmtes Intervall zu pausieren.
Payload — weist den Agenten an, Code oder Anweisungen aus dem Anweisungsfeld zu extrahieren und diese in einem separaten Thread auszuführen.
Ergebnis — signalisiert, dass die Ausgabe der Ausführung mit der Beschreibung „Ergebnis“ an die Assistants API zurückgesendet werden soll, damit der Operator das Ergebnis abrufen kann.
Betriebsablauf
Im aktiven Zustand fragt die Hintertür die Assistants-API ab, um verschlüsselte Befehle zu erhalten. Sie dekodiert und führt die Nutzdaten lokal aus und sendet die Ergebnisse anschließend als Nachrichten an die API zurück. Dieses Relay-Modell wandelt eine legitime Cloud-KI-API in einen Vermittler für die Aufgabenverteilung und den Empfang von Ergebnissen um und tarnt so den Angreiferverkehr effektiv innerhalb der erwarteten API-Nutzungsmuster.
Attribution, Absicht und strategische Ziele
Bislang gibt es keine öffentliche Zuordnung der Kampagne. Die im Implantat fokussierte Vorgehensweise, die auf Persistenz, verdeckte Steuerung und lange Verweildauer setzt, deutet stark darauf hin, dass die Angreifer einen dauerhaften Zugriff anstrebten – was mit Informationsbeschaffung oder langwieriger Spionagetätigkeit übereinstimmt. Der Fall verdeutlicht zudem einen allgemeineren Trend: den Missbrauch weit verbreiteter, legitimer Cloud-Dienste, um der Entdeckung zu entgehen und die Reaktion auf Sicherheitsvorfälle zu erschweren.
Beachtenswert ist, dass die Assistants API im August 2026 eingestellt und durch die Responses API ersetzt wird, was sich auf die Funktionsweise ähnlicher Missbrauchsmethoden in der Zukunft auswirken kann.
Zum Mitnehmen
SesameOp ist bemerkenswert, da es einen gängigen KI-Integrationsendpunkt in einen verdeckten C2-Kanal umfunktioniert. Durch die Kombination von .NET AppDomainManager-Injection, verschleierten DLLs, kompromittierten Entwicklungswerkzeugen und internen Web-Shells wird eine dauerhafte und schwer erkennbare Kontrolle erreicht. Die Kampagne unterstreicht die Notwendigkeit für Sicherheitsexperten, ungewöhnliches Verhalten von Entwicklerwerkzeugen, die anomale Nutzung von Cloud-APIs durch interne Hosts sowie Anzeichen von DLL-Injection oder Laufzeitmanipulation in .NET-Umgebungen zu überwachen.
