Microsoft güvenlik araştırmacıları, OpenAI Assistants API’yi kötüye kullanan yeni bir arka kapı yazılımı keşfetti. “SesameOp” adı verilen zararlı yazılımın, gizli komut ve kontrol (C2) kanalı olarak OpenAI’nin API altyapısından yararlandığı belirlendi.
Microsoft, SesameOp Saldırısını Temmuz 2025 İncelemesinde Tespit Etti
Microsoft’un Detection and Response Team (DART) ekibi, Temmuz 2025’te yaşanan bir siber saldırının araştırması sırasında SesameOp adlı yeni bir zararlı yazılımı ortaya çıkardı. Ekip, bu yazılımın saldırganlara hedef sistemlere kalıcı erişim sağladığını tespit etti.
Saldırganlar, SesameOp’u kullanarak özel altyapıya ihtiyaç duymadan bulut hizmetleri üzerinden sistemleri uzaktan yönetebildi. Bu yöntem, kurbanların saldırıyı fark etmesini zorlaştırdı ve olay müdahalesi sırasında altyapının devre dışı bırakılmasını engelledi. Microsoft Olay Müdahale ekibi raporunda, tehdidin klasik yöntemlerden uzaklaştığını belirterek “Saldırgan, kötü amaçlı faaliyetlerini gizlice yürütmek için OpenAI’nin API’sini bir komut ve kontrol kanalı olarak kullanıyor” ifadesine yer verdi.
SesameOp, OpenAI Assistants API’yi veri depolama ve iletim aracı olarak kullanarak sıkıştırılmış ve şifrelenmiş komutları alıyor. Bu komutlar, zararlı yazılım tarafından çözümlenip sistemde çalıştırılıyor. Ele geçirilen bilgiler yine aynı kanal üzerinden şifreli biçimde geri gönderiliyor.
DART ekibi saldırı zincirinde ağır biçimde gizlenmiş bir yükleyici ve .NET tabanlı arka kapı kullanan bir yapı tespit etti. Yazılım, Microsoft Visual Studio araçlarına .NET AppDomainManager enjeksiyonu yoluyla entegre edildi. Zararlı yazılım, uzun vadeli casusluk faaliyetleri için iç kabuklar ve özel olarak yerleştirilmiş işlemler aracılığıyla kalıcılık sağladı.
Microsoft, saldırının OpenAI platformundaki bir güvenlik açığından değil, API’nin meşru işlevlerinin kötüye kullanılmasından kaynaklandığını vurguladı. Şirket, OpenAI ile yürüttüğü ortak inceleme sonucunda saldırıda kullanılan hesap ile API anahtarını devre dışı bıraktı.
Microsoft, tehdidin amacının uzun süreli casusluk faaliyetleri yürütmek olduğunu belirtti. Şirket, güvenlik ekiplerine güvenlik duvarı kayıtlarını inceleme, koruma özelliklerini devreye alma, uç nokta algılama sistemlerini etkin kullanma ve dış servislere yetkisiz bağlantıları izleme uyarısında bulundu.
