Microsoft découvre une campagne de plusieurs mois au cours de laquelle les acteurs malveillants ont utilisé l’API légitime d’OpenAI comme canal de commande et de contrôle secret, contournant les méthodes de détection traditionnelles.
Dans une campagne récemment découverte, les acteurs malveillants ont intégré une porte dérobée jusqu’alors non documentée, baptisée SesameOp, qui exploite l’API OpenAI Assistants pour relayer les commandes et exfiltrer les résultats.
Selon des chercheurs de Microsoft, la campagne était active pendant des mois avant sa détection et reposait sur des bibliothèques .NET obscurcies chargées via l’injection d’AppDomainManager dans des utilitaires Visual Studio compromis.
« Au lieu de s’appuyer sur des méthodes plus traditionnelles, l’acteur malveillant derrière cette porte dérobée abuse d’OpenAI en tant que canal C2 afin de communiquer furtivement et d’orchestrer des activités malveillantes au sein de l’environnement compromis », ont déclaré les chercheurs dans un article de blog.
L’exploit n’exploite pas une vulnérabilité du service d’IA lui-même, mais abuse d’une API légitime de manière intelligente, plaçant ainsi la barre plus haut pour les équipes de détection et de défense.
Exploiter l’API Assistants
La chaîne d’infection de la porte dérobée commence par un chargeur, « Netapi64.dll », injecté dans un exécutable hôte via l’injection de NET AppDomainManager, une méthode furtive utilisée pour échapper aux moniteurs conventionnels. Une fois actif, le composant implanté accède à l’API OpenAI Assistants à l’aide d’une clé API codée en dur, traitant l’infrastructure Assistants comme une couche de stockage et de relais.
« Dans le contexte d’OpenAI, les assistants font référence à une fonctionnalité de la plateforme OpenAI qui permet aux développeurs et aux organisations de créer des agents d’IA personnalisés adaptés à des tâches, des flux de travail ou des domaines spécifiques », ont déclaré les chercheurs de Microsoft. « Ces assistants sont construits sur les modèles OpenAI (comme GPT-4 ou GPT-4.1) et peuvent être étendus avec des fonctionnalités supplémentaires. »
Le malware récupère les charges utiles des commandes intégrées dans les descriptions des « Assistants » (qui peuvent être définies sur des valeurs telles que « SLEEP », « Payload », « Result »), puis les décrypte, les décompresse et les exécute localement. Après l’exécution, les résultats sont téléchargés via la même API, un peu comme le modèle d’attaque « vivre de la terre », mais dans un contexte cloud d’IA.
Étant donné que l’attaquant utilise un service cloud légitime pour le commandement et le contrôle, la détection devient plus difficile, ont noté les chercheurs. Il n’y a pas de domaine C2, seulement un trafic d’apparence inoffensive vers api.openai.com.
Leçons pour les défenseurs et les fournisseurs de plateformes
Microsoft a précisé que la plate-forme OpenAI elle-même n’a pas été violée ou exploitée ; au contraire, ses fonctions API légitimes ont été utilisées à mauvais escient comme canal de relais, mettant en évidence un risque croissant à mesure que l’IA générative devient partie intégrante des flux de travail d’entreprise et de développement. Les attaquants peuvent désormais coopter les points de terminaison publics de l’IA pour masquer les intentions malveillantes, rendant ainsi la détection beaucoup plus difficile.
En réponse, Microsoft et OpenAI ont agi pour désactiver les comptes et les clés liés aux attaquants. Les sociétés ont également exhorté les défenseurs à inspecter les journaux pour détecter les demandes sortantes vers des domaines inattendus tels que api.openai.com, en particulier depuis les machines des développeurs. L’activation de la protection contre les falsifications, de la surveillance en temps réel et du mode blocage dans Defender, a déclaré Microsoft, peut aider à détecter les mouvements latéraux et les modèles d’injection utilisés par SesameOp.
« Microsoft Defender Antivirus détecte cette menace comme ‘Trojan:MSIL/Sesameop.A (loader)’ et ‘Backdoor: MSIL/Sesameop.A(backdoor) », ont ajouté les chercheurs. Les attaquants continuent de trouver des moyens inventifs pour militariser l’IA. Des révélations récentes ont montré des agents d’IA autonomes déployés pour automatiser des chaînes d’attaque entières, une IA générative utilisée pour accélérer les campagnes de ransomware et des techniques d’injection rapide pour armer les assistants de codage.
