Redazione RHC : 4 noviembre 2025 18:39
Microsoft ha descubierto un nuevo malware, denominado SesameOp , y ha publicado detalles sobre su funcionamiento . Esta puerta trasera era inusual: sus creadores utilizaron la API de Asistentes de OpenAI como canal de control encubierto , lo que les permitió ocultar la actividad dentro del sistema infectado y evadir las herramientas de detección tradicionales.
El ataque se descubrió en julio de 2025 durante la investigación de un ataque complejo, durante el cual un grupo desconocido permaneció presente en la infraestructura de la víctima durante varios meses.
No se ha revelado la identidad de la organización objetivo, pero la investigación descubrió una extensa red de webshells internas y procesos maliciosos que se hacían pasar por utilidades legítimas de Visual Studio. El código malicioso se inyectó mediante AppDomainManager : un archivo de configuración modificado ordenaba al ejecutable cargar la biblioteca dinámica Netapi64.dll, que contenía lógica maliciosa.
La biblioteca estaba fuertemente ofuscada mediante Eazfuscator.NET, lo que le proporcionaba mayor sigilo. Funcionaba como cargador del módulo .NET OpenAIAgent.Netapi64 , que solicitaba instrucciones a través de la API de Asistentes de OpenAI. Los comandos recibidos se descifraban primero, luego se ejecutaban en un hilo separado y los resultados de la ejecución se devolvían a través de la misma API. De este modo, la infraestructura de OpenAI se utilizaba eficazmente como un nodo de control intermedio, indetectable durante el análisis del tráfico de red.
La comunicación entre el malware y el servidor de comando y control se produce mediante mensajes que contienen parámetros clave en el campo de descripción . Estos pueden incluir el comando SLEEP (para suspender temporalmente la actividad), el comando Payload (para ejecutar instrucciones anidadas) y el comando Result (para devolver los resultados de la ejecución al operador del ataque).
Aunque se desconoce la identidad de los atacantes, el esquema en sí demuestra una tendencia a explotar servicios legítimos en la nube para el control encubierto. Esto dificulta la detección del ataque, ya que el tráfico no supera el uso normal de las API corporativas. Tras recibir la notificación de Microsoft, el equipo de OpenAI realizó una revisión interna, identificó la clave sospechosa y bloqueó la cuenta asociada.
Según Microsoft, el uso de SesameOp indica un intento deliberado de obtener acceso a largo plazo a la infraestructura y controlar los equipos infectados sin el conocimiento de sus propietarios. La plataforma API de Asistentes de OpenAI, mediante la cual se ejercía este control, se desactivará en agosto de 2026 y será reemplazada por la nueva API de Respuestas.
RedazioneLos ladrones entraron por una ventana del segundo piso del Museo del Louvre, pero el museo tenía problemas que iban más allá de las ventanas sin asegurar, según un informe de auditoría de ciberse...
Reuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
