Microsoft Detection and Response Team (DART) ha documentado el descubrimiento de SesameOp, un backdoor que aprovecha la Assistants API de OpenAI como canal de comando y control (C2) para mantener comunicaciones encubiertas. Según la investigación, observada durante la respuesta a un incidente en julio de 2025, los operadores controlaron nodos comprometidos durante meses sin activar alertas en herramientas de monitorización tradicionales, reforzando un patrón de “living off the cloud” en campañas de ciberespionaje.
Cómo opera SesameOp y por qué la Assistants API resulta atractiva
En lugar de infraestructuras C2 dedicadas, susceptibles a listas de bloqueo e indicadores de compromiso, SesameOp recurre a un canal legítimo y en la nube. Las órdenes se envían a través de la Assistants API en formato comprimido y cifrado; el agente las descifra y ejecuta localmente. La exfiltración de datos usa la misma ruta inversa, combinando cifrado simétrico y asimétrico para garantizar confidencialidad e integridad. Al circular sobre dominios reputados y conexiones TLS, el tráfico se mimetiza con actividad empresarial normal y dificulta su detección mediante controles estáticos.
Cadena de ataque, inyección en .NET y persistencia
La cadena de compromiso descrita por Microsoft Incident Response incluyó un loader fuertemente ofuscado y un backdoor en .NET. La ejecución inicial se logró mediante inyección de .NET AppDomainManager en procesos asociados a herramientas de Microsoft Visual Studio, lo que complica el análisis forense y eleva la resiliencia frente a la erradicación. Para permanecer a largo plazo, los operadores desplegaron web shells y procesos en segundo plano orientados a operaciones de espionaje sostenidas.
Abuso de servicios cloud como C2: una tendencia de evasión consolidada
El uso de plataformas SaaS y servicios en la nube para C2 no es novedoso: se han observado campañas que se apoyan en Telegram, Discord o servicios para desarrolladores (p. ej., repositorios Git) para camuflar tráfico. El beneficio principal para el atacante es la legitimidad del dominio y el cifrado extremo a extremo, lo que reduce la eficacia de los bloqueos por reputación. En términos MITRE ATT&CK, estos patrones suelen mapearse a T1071 (Application Layer Protocol) y T1105 (Exfiltration Over Web Services), con comportamientos que se confunden con flujos permitidos en las organizaciones.
Respuesta coordinada: qué hicieron Microsoft y OpenAI
La investigación conjunta permitió identificar y revocar la cuenta y el API key usados por SesameOp, además de bloquear infraestructura relacionada. No hay indicios de explotación de vulnerabilidades en la plataforma; el actor abusa de funcionalidades legítimas de la API. Este matiz subraya la necesidad de controles basados en analítica de comportamiento y en el contexto de uso, más que en firmas o listas de IOC.
Medidas defensivas prioritarias y observabilidad
Supervisión y control del tráfico saliente (egress)
– Implementar listas explícitas de permitidos para dominios y rutas de APIs cloud, con proxies que apliquen políticas granulares y eviten permisos excesivos. Siempre que la regulación lo permita, considerar TLS inspection y el uso de telemetría SNI/JA3/encabezados HTTP para perfilar llamadas a servicios de IA/LLM.
Control de ejecución y telemetría en endpoints
– Vigilar cargas .NET atípicas, eventos de AppDomainManager e inyecciones en procesos de herramientas de desarrollo (Visual Studio y utilidades afines). Activar reglas EDR/AV que identifiquen creación anómala de AppDomains y carga dinámica de ensamblados. Incorporar detecciones de web shells con inspección de contenido, verificación de integridad de directorios web y alertas por sesiones persistentes de baja intensidad o User-Agent inusuales.
Gestión de accesos, claves y comportamiento de uso
– Reforzar la emisión y rotación de claves de API, con monitorización de su uso por geografía, volumen y patrón temporal. Desplegar UEBA para detectar C2 “silencioso”: intervalos deterministas, ráfagas periódicas y cargas anómalas focalizadas en hosts concretos. Cualquier irregularidad debe activar bloqueo y respuesta.
Implicaciones para el sector y próximos pasos
SesameOp ilustra un desplazamiento hacia la sigilosidad operativa frente a la explotación de fallos. Allí donde las defensas se apoyan en IOC y listas negras, los adversarios buscan rutas de confianza mediante servicios cloud y APIs. Las organizaciones deberían revisar las políticas de tráfico hacia plataformas de IA, auditar el uso de Assistants API, fortalecer la visibilidad en entornos .NET y AppDomainManager, y establecer procedimientos de revocación rápida de claves. Invertir en analítica de comportamiento, aplicar inspecciones compatibles con la privacidad y coordinarse estrechamente con los proveedores cloud reducirá el riesgo de permanencia prolongada en campañas de ciberespionaje.
