Redazione RHC : 4 noviembre 2025 18:39
Microsoft ha descubierto un nuevo malware, denominado SesameOp , y ha publicado detalles sobre su funcionamiento . Esta puerta trasera era inusual: sus creadores utilizaron la API de Asistentes de OpenAI como canal de control encubierto , lo que les permitió ocultar la actividad dentro del sistema infectado y evadir las herramientas de detección tradicionales.
El ataque se descubrió en julio de 2025 durante la investigación de un ataque complejo, durante el cual un grupo desconocido permaneció presente en la infraestructura de la víctima durante varios meses.
No se ha revelado la identidad de la organización objetivo, pero la investigación descubrió una extensa red de webshells internas y procesos maliciosos que se hacían pasar por utilidades legítimas de Visual Studio. El código malicioso se inyectó mediante AppDomainManager : un archivo de configuración modificado ordenaba al ejecutable cargar la biblioteca dinámica Netapi64.dll, que contenía lógica maliciosa.
La biblioteca estaba fuertemente ofuscada mediante Eazfuscator.NET, lo que le proporcionaba mayor sigilo. Funcionaba como cargador del módulo .NET OpenAIAgent.Netapi64 , que solicitaba instrucciones a través de la API de Asistentes de OpenAI. Los comandos recibidos se descifraban primero, luego se ejecutaban en un hilo separado y los resultados de la ejecución se devolvían a través de la misma API. De este modo, la infraestructura de OpenAI se utilizaba eficazmente como un nodo de control intermedio, indetectable durante el análisis del tráfico de red.
La comunicación entre el malware y el servidor de comando y control se produce mediante mensajes que contienen parámetros clave en el campo de descripción . Estos pueden incluir el comando SLEEP (para suspender temporalmente la actividad), el comando Payload (para ejecutar instrucciones anidadas) y el comando Result (para devolver los resultados de la ejecución al operador del ataque).
Aunque se desconoce la identidad de los atacantes, el esquema en sí demuestra una tendencia a explotar servicios legítimos en la nube para el control encubierto. Esto dificulta la detección del ataque, ya que el tráfico no supera el uso normal de las API corporativas. Tras recibir la notificación de Microsoft, el equipo de OpenAI realizó una revisión interna, identificó la clave sospechosa y bloqueó la cuenta asociada.
Según Microsoft, el uso de SesameOp indica un intento deliberado de obtener acceso a largo plazo a la infraestructura y controlar los equipos infectados sin el conocimiento de sus propietarios. La plataforma API de Asistentes de OpenAI, mediante la cual se ejercía este control, se desactivará en agosto de 2026 y será reemplazada por la nueva API de Respuestas.
RedazioneEl trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
Hace exactamente 40 años, el 20 de noviembre de 1985, Microsoft lanzó Windows 1.0 , la primera versión de Windows, que intentó transformar el entonces ordenador personal, una máquina con una lín...
