Представьте: вы зовёте ассистента за кофе, а он приносит вам… командный центр. Шутка дня, если бы не было так тревожно. Microsoft обнаружила новый бэкдор SesameOp, который ведёт себя как вежливый помощник, но шепчет своему хосту чужие команды через облако.
Суть трюка проста и изящна: вместо шумных серверов злоумышленников — законный API ассистентов как канал связи. Команды упакованы и зашифрованы, извлекаются на заражённых хостах, исполняются, а результаты — снова в облако тем же маршрутом. Ни вспышек, ни лишних следов: только аккуратные запросы к респектабельному сервису.
Технический почерк у SesameOp непростой. Исследователи DART увидели тяжело обфусцированный загрузчик и .NET-бэкдор, впрыснутый через AppDomainManager в утилиты Visual Studio. Для долговечности — внутренние веб‑шеллы и «правильно расставленные» процессы, заточенные под выжидательную шпионскую миссию. Собранные данные упаковываются в крипто-матрёшку (симметрическая плюс асимметрическая криптография) и утекают тем же, казалось бы, безобидным каналом.
Важно: никакой дыры в платформе ИИ тут нет. Речь о злоупотреблении легитимными возможностями API, который, к слову, намечен к выводу из эксплуатации в августе 2026 года. Microsoft совместно с провайдером облачного ИИ отследили активность, нашли и отключили скомпрометированный аккаунт и ключ API — но это лишь один ус обрубленного осьминога.
Что делать защитникам, пока ассистенты учатся говорить «нет»? Несколько трезвых шагов:
- Проверяйте журналы фаервола на неожиданные исходящие к облачным ИИ‑сервисам.
- Включайте tamper protection и режим блокировки в EDR.
- Контролируйте создание долгоживущих процессов и нестандартных .NET‑инъекций.
- Инвентаризируйте и ограничивайте ключи API, мониторьте их использование.
- Отслеживайте веб‑шеллы и странные артефакты в dev‑инструментах вроде Visual Studio.
SesameOp учит простому: сегодня «легитимный» трафик — лучший плащ‑невидимка. Значит, нужен не только забор выше, но и фонарик умнее.