Microsoft, yeni bir arka kapının ayrıntılarını açıkladı SusamOp Komuta ve kontrol (C2) iletişimi için OpenAI Asistanları Uygulama Programlama Arayüzünü (API) kullanan.
Microsoft Incident Response Tespit ve Müdahale Ekibi (DART), Pazartesi günü yayınlanan teknik bir raporda, “Daha geleneksel yöntemlere güvenmek yerine, bu arka kapının arkasındaki tehdit aktörü, OpenAI’yi tehlikeye atılmış ortamdaki kötü niyetli faaliyetleri gizlice iletişim kurmanın ve düzenlemenin bir yolu olarak bir C2 kanalı olarak kötüye kullanıyor.” dedi.
“Bunu yapmak için arka kapının bir bileşeni, kötü amaçlı yazılımın çalıştıracağı komutları getirmek için bir depolama veya aktarma mekanizması olarak OpenAI Assistants API’yi kullanıyor.”
Teknoloji devi, implantı Temmuz 2025’te, bilinmeyen tehdit aktörlerinin hedef ortamda birkaç ay boyunca varlığını sürdürmeyi başardığı karmaşık bir güvenlik olayının parçası olarak keşfettiğini söyledi. Etkilenen kurbanın adı belirtilmedi.
İzinsiz giriş etkinliğine ilişkin daha fazla araştırma, “kalıcı, stratejik olarak yerleştirilmiş” kötü amaçlı süreçlerden aktarılan komutları yürütmek üzere tasarlanan, dahili web kabuklarının “karmaşık düzenlemesi” olarak tanımladığı şeyin keşfedilmesine yol açtı. Bu süreçler, AppDomainManager enjeksiyonu olarak adlandırılan bir yaklaşım olan, kötü amaçlı kitaplıkların tehlikeye attığı Microsoft Visual Studio yardımcı programlarından yararlanır.
SesameOp, kalıcılığı korumak ve bir tehdit aktörünün ele geçirilen cihazları gizlice yönetmesine olanak sağlamak için tasarlanmış özel bir arka kapıdır; bu da saldırının genel amacının casusluk çabaları için uzun vadeli erişim sağlamak olduğunu gösterir.
OpenAI Assistants API, geliştiricilerin yapay zeka (AI) destekli aracıları doğrudan uygulamalarına ve iş akışlarına entegre etmelerini sağlar. API’nin Ağustos 2026’da OpenAI tarafından kullanımdan kaldırılması planlanıyor ve şirket bunu yeni bir Responses API ile değiştirecek.
Microsoft’a göre enfeksiyon zinciri, bir yükleyici bileşeni (“Netapi64.dll”) ve şifrelenmiş komutları getirmek için OpenAI API’yi bir C2 kanalı olarak kullanan ve daha sonra kodu çözülüp yerel olarak yürütülen .NET tabanlı bir arka kapıyı (“OpenAIAgent.Netapi64”) içerir. Yürütmenin sonuçları OpenAI’ye mesaj olarak geri gönderilir.
Şirket, “Dinamik bağlantı kitaplığı (DLL), Eazfuscator.NET kullanılarak büyük ölçüde gizlenmiştir ve OpenAI Assistants API kullanılarak gizlilik, kalıcılık ve güvenli iletişim için tasarlanmıştır” dedi. “Netapi64.dll, ana bilgisayar çalıştırılabilir dosyasına eşlik eden hazırlanmış bir .config dosyası tarafından belirtildiği gibi, çalışma zamanında .NET AppDomainManager enjeksiyonu aracılığıyla çalıştırılabilir ana bilgisayara yüklenir.”
Mesaj, OpenAI’den alınan Asistanlar listesinin açıklama alanındaki üç tür değeri destekler:
- UYUMAKişlem iş parçacığının belirli bir süre boyunca uyumasına izin vermek için
- Yükmesajın içeriğini talimatlar alanından çıkarmak ve onu yürütülmek üzere ayrı bir iş parçacığında çağırmak için
- SonuçTehdit aktörüne yükün yürütülmesi çıktısının mevcut olduğunu bildirmek için işlenen sonucu OpenAI’ye açıklama alanının “Sonuç” olarak ayarlandığı yeni bir mesaj olarak iletmek için
Şu anda kötü amaçlı yazılımın arkasında kimin olduğu belli değil, ancak geliştirme, normal ağ etkinliğine ve yan adım tespitine uyum sağlamak için meşru araçların kötü niyetli amaçlarla kötüye kullanılmaya devam ettiğini gösteriyor. Microsoft, bulgularını, saldırgan tarafından kullanıldığına inanılan bir API anahtarını ve ilgili hesabı belirleyip devre dışı bırakan OpenAI ile paylaştığını söyledi.