Microsoft-onderzoekers ontdekten een backdoor die de OpenAI Assistants API misbruikt voor command-and-control-communicatie. De malware, genaamd SesameOp, werd in juli 2025 aangetroffen bij een incident waarbij aanvallers maanden binnen de omgeving aanwezig waren.

SesameOp is ontworpen voor persistentie en stille controle over gecompromitteerde apparaten. De aard van de backdoor past bij het uiteindelijke doel van de aanval: langdurige toegang voor spionagedoeleinden.

De aanvallers hadden zich diep genesteld in de omgeving. Microsoft Incident Response ontdekte een complex netwerk van interne webshells die commando’s uitvoerden. Deze webshells werden aangestuurd door kwaadaardige processen die verschillende Microsoft Visual Studio-hulpprogramma’s hadden gecompromitteerd. Daarvoor gebruikten ze .NET AppDomainManager injection, een techniek om detectie te ontwijken.

Ongebruikelijke aanvalstechniek

In plaats van traditionele C2-methodes koos de aanvaller voor een verrassende route. De backdoor zet de OpenAI Assistants API in als opslagpunt en doorgeefluik voor commando’s. Een component van de malware haalt via deze API instructies op, waarna ze worden uitgevoerd op het geïnfecteerde systeem.

De onderzoekers gingen op zoek naar andere Visual Studio-bestanden die verdachte libraries laadden. Dat leverde extra artefacten op die externe communicatie mogelijk maakten met de webshell-infrastructuur. Analyse van een van die bestanden leidde tot de ontdekking van SesameOp.

Samenwerking tegen misbruik

Microsoft benadrukt dat het geen kwetsbaarheid of misconfiguratie betreft. “Deze bedreiging vertegenwoordigt geen kwetsbaarheid of verkeerde configuratie, maar eerder een manier om de ingebouwde mogelijkheden van de OpenAI Assistants API te misbruiken”, aldus het bedrijf. De API wordt in augustus 2026 uitgefaseerd.

Samen met OpenAI onderzocht Microsoft hoe de aanvaller de API misbruikte. Het Detection and Response Team (DART) deelde de bevindingen met OpenAI, dat vervolgens een API-sleutel en bijbehorend account uitschakelde. De review bevestigde dat het account niet had gecommuniceerd met OpenAI-modellen, behalve enkele beperkte API-calls.

