Redazione RHC : 4 noviembre 2025 18:39
Microsoft ha descubierto un nuevo malware, denominado SesameOp , y ha publicado detalles sobre su funcionamiento . Esta puerta trasera era inusual: sus creadores utilizaron la API de Asistentes de OpenAI como canal de control encubierto , lo que les permitió ocultar la actividad dentro del sistema infectado y evadir las herramientas de detección tradicionales.
El ataque se descubrió en julio de 2025 durante la investigación de un ataque complejo, durante el cual un grupo desconocido permaneció presente en la infraestructura de la víctima durante varios meses.
No se ha revelado la identidad de la organización objetivo, pero la investigación descubrió una extensa red de webshells internas y procesos maliciosos que se hacían pasar por utilidades legítimas de Visual Studio. El código malicioso se inyectó mediante AppDomainManager : un archivo de configuración modificado ordenaba al ejecutable cargar la biblioteca dinámica Netapi64.dll, que contenía lógica maliciosa.
La biblioteca estaba fuertemente ofuscada mediante Eazfuscator.NET, lo que le proporcionaba mayor sigilo. Funcionaba como cargador del módulo .NET OpenAIAgent.Netapi64 , que solicitaba instrucciones a través de la API de Asistentes de OpenAI. Los comandos recibidos se descifraban primero, luego se ejecutaban en un hilo separado y los resultados de la ejecución se devolvían a través de la misma API. De este modo, la infraestructura de OpenAI se utilizaba eficazmente como un nodo de control intermedio, indetectable durante el análisis del tráfico de red.
La comunicación entre el malware y el servidor de comando y control se produce mediante mensajes que contienen parámetros clave en el campo de descripción . Estos pueden incluir el comando SLEEP (para suspender temporalmente la actividad), el comando Payload (para ejecutar instrucciones anidadas) y el comando Result (para devolver los resultados de la ejecución al operador del ataque).
Aunque se desconoce la identidad de los atacantes, el esquema en sí demuestra una tendencia a explotar servicios legítimos en la nube para el control encubierto. Esto dificulta la detección del ataque, ya que el tráfico no supera el uso normal de las API corporativas. Tras recibir la notificación de Microsoft, el equipo de OpenAI realizó una revisión interna, identificó la clave sospechosa y bloqueó la cuenta asociada.
Según Microsoft, el uso de SesameOp indica un intento deliberado de obtener acceso a largo plazo a la infraestructura y controlar los equipos infectados sin el conocimiento de sus propietarios. La plataforma API de Asistentes de OpenAI, mediante la cual se ejercía este control, se desactivará en agosto de 2026 y será reemplazada por la nueva API de Respuestas.
RedazioneEn unos años, Irlanda y Estados Unidos estarán conectados por un cable de comunicaciones submarino diseñado para ayudar a Amazon a mejorar sus servicios AWS . Los cables submarinos son una parte fu...
No se trata “ solo de mayor velocidad ”: ¡el 6G cambia la naturaleza misma de la red! Cuando hablamos de 6G, corremos el riesgo de reducirlo todo a una simple mejora de velocidad, como si la red ...
En septiembre se publicó una nueva vulnerabilidad que afecta a Notepad++. Esta vulnerabilidad, identificada como CVE-2025-56383, puede consultarse en el sitio web del NIST para obtener más informaci...
Google ha emitido un aviso urgente sobre una vulnerabilidad crítica en Android que permite a los atacantes ejecutar código arbitrario en el dispositivo sin interacción del usuario. La vulnerabilida...
El 29 de octubre, Microsoft publicó un fondo de pantalla para conmemorar el undécimo aniversario del programa Windows Insider , y se especula que fue creado utilizando macOS. Recordemos que Windows ...
