أعلنت مايكروسوفت عن تفاصيل تقنية لـباب خلفي خبيث جديد أطلقت عليه اسم SesameOp، والذي يمثل تطوراً مقلقاً في أساليب الهجمات السيبرانية. يكشف التقرير الفني الصادر عن فريق الكشف والاستجابة للحوادث DART أن الفاعل استغل OpenAI Assistants API كقناة اتصال وقيادة غير تقليدية وخفية، بدلاً من استخدام آليات التحكم التقليدية. يسمح هذا التكتيك المبتكر لـSesameOp بإدارة الأنشطة الخبيثة وإصدار الأوامر بشكل سري داخل البيئات المخترقة، ما يزيد بشكل كبير من تحديات الكشف والمراقبة الأمنية.
وفقاً للتقرير، يتميز الباب الخلفي SesameOp بآلية عمل متطورة، حيث يستخدم أحد مكوناته OpenAI Assistants API ليس فقط كقناة تحكم، بل كآلية تخزين وترحيل للرسائل. يجلب هذا المكون التعليمات والأوامر الخبيثة من الواجهة ثم ينفذها محلياً داخل البيئة المستهدفة.
جاء هذا الكشف في يوليو 2025 ضمن تحقيقات مايكروسوفت في حوادث أمنية متقدمة، حيث نجحت جهات تهديد غير معروفة في الحفاظ على ثبات داخل البنية التحتية المستهدفة لعدة أشهر.
كشف الاستقصاء عن تركيبة معقدة تضمنت واجهات ويب داخلية مصممة لتنفيذ أوامر صادرة عن عمليات خبيثة استغلت أدوات Microsoft Visual Studio عبر تزويدها بمكتبات خبيثة باستخدام تقنية حقن AppDomainManager.
إن SesameOp هو باب خلفي مصمم لضمان الثبات، وتمكين الجهة المهاجمة من الإدارة السرية للأجهزة المخترقة. تشير جميع الدلائل إلى أن الهدف العام من هذا الهجوم كان ضمان الوصول طويل الأمد، ما يضعه ضمن نطاق العمليات التجسسية عالية المستوى.
تضم سلسلة العدوى، التي كشفت عنها مايكروسوفت، مكونين أساسيين: أولهما هو مُحمِّل باسم Netapi64.dll، والآخر هو باب خلفي مطور على منصة دوت نت يدعى OpenAIAgent.Netapi64. وقد صمم المهاجم Netapi64.dll، الذي خضع لتشويش شديد باستخدام Eazfuscator.NET، لضمان التمويه والثبات، حيث يتم تحميله في وقت التشغيل ضمن البرنامج المضيف عبر تقنية حقن .NET AppDomainManager المحددة في ملف إعدادات مرفق.
أما الباب الخلفي OpenAIAgent.Netapi64، فيستغل OpenAI Assistants API ببراعة كقناة اتصال وقيادة (C2)، حيث يجلب الأوامر المشفرة،ويفك تشفيرها ثم ينفذها محلياً، وتعاد نتائج التنفيذ إلى OpenAI على شكل رسالة. يؤكد هذا المزيج على التصميم المخصص لـSesameOp للحفاظ على الثبات والتواصل الآمن عبر الواجهة البرمجية لـOpenAI.
يكشف التقرير عن بروتوكول اتصالات مخصص ضمني في نمط الرسائل التي يجلبها الباب الخلفي من قائمة Assistants المسترجعة من OpenAI. يدعم هذا البروتوكول ثلاثة أنواع من القيم الوظيفية في حقل الوصف، والتي توجه سلوك الباب الخلفي:
- SLEEP: لتوجيه الخيط (لثريد) التنفيذي إلى وضع السكون لمدة زمنية محددة.
- Payload: لاستخراج محتوى الرسالة من حقل التعليمات واستدعائه للتنفيذ في خيط منفصل.
- Result: للإشارة إلى الجهة المهاجمة بأن ناتج تنفيذ الحمولة جاهز، حيث يستخدم هذا الحقل لضبط الوصف عند إعادة إرسال نتيجة المعالجة إلى OpenAI كرسالة جديدة.
تظهر هذه التفاصيل الآلية الدقيقة التي يتبعها المهاجم لإدارة دورة حياة الأوامر والتحكم بالحمولة بشكل خفي تماماً عبر واجهة OpenAI.
ليس واضحاً حتى الآن من يقف خلف الشيفرة الخبيثة لكن التطور يشير إلى استمرار إساءة استخدام أدوات شرعية ومشهورة لمزج الحركة الخبيثة مع نشاط الشبكة العادي والالتفاف على آليات الكشف. أوضحت مايكروسوفت أنها شاركت نتائج تحقيقها مع OpenAI التي بدورها حددت وعلقت مفتاح API وحساب المستخدم المرتبط به والمظنون أن الجهة المهاجمة كانت تستخدمه.
توضيح تقني موجز لسلسلة العدوى يذكر أن الباب الخلفي استخدم آلية تحميل ثم تنفيذ عبر مكون دوت نت مشوش للغاية وتواصل مع واجهة OpenAI لاسترجاع أوامر مشفرة ثم إعادة النتائج. إلى جانب ذلك وجدت واجهات ويب داخلية وعمليات خبيثة مستمرة تعتمد على أدوات Visual Studio معدلة بمكتبات خبيثة لفرض ثبات طويل الأمد في البيئة المستهدفة.
شملت النتائج العملية التي أوردتها مايكروسوفت تعطيل مفتاح API وحساب مرتبط لدى OpenAI كما نصحت بالبحث عن آثار Netapi64.dll وOpenAIAgent.Netapi64 واستخدام مؤشرات التهديد والتنقيح للمكتبات المشبوهة وملفات التكوين المصاحبة. كما دعت إلى مراقبة أي استخدام غير اعتيادي لواجهات OpenAI Assistants API في بيئات الإنتاج ورفع قنوات الاكتشاف لتشمل نماذج إساءة الاستخدام هذه.
