Microsoft memperingatkan tentang temuan malware baru bernama SesameOp — sebuah backdoor canggih yang menyalahgunakan OpenAI Assistants API sebagai saluran komunikasi tersembunyi (command-and-control channel) antara peretas dan perangkat korban.
Menggunakan OpenAI sebagai Kanal C2 Tersembunyi
Menurut laporan resmi dari Microsoft Detection and Response Team (DART), malware ini ditemukan saat penyelidikan insiden serangan siber pada Juli 2025. Investigasi menunjukkan bahwa SesameOp memungkinkan penyerang mempertahankan akses jangka panjang ke lingkungan yang telah disusupi — tanpa perlu menggunakan infrastruktur server berbahaya tradisional yang mudah dilacak.
“Alih-alih menggunakan metode konvensional, pelaku di balik SesameOp memanfaatkan OpenAI sebagai kanal komunikasi C2 untuk mengoordinasikan aktivitas berbahaya secara tersembunyi di dalam lingkungan korban,” jelas tim Microsoft Incident Response.
Malware ini mengandalkan OpenAI Assistants API untuk:
- Mengambil perintah terenkripsi dari akun OpenAI yang dikendalikan pelaku.
- Menyimpan dan menyalurkan data hasil pencurian kembali ke API yang sama.
- Menjalankan instruksi jarak jauh setelah mendekripsi perintah di sistem korban.
Semua komunikasi dikompresi dan dienkripsi menggunakan kombinasi kriptografi simetris dan asimetris, menjadikannya sangat sulit dideteksi oleh sistem keamanan tradisional.
Rantai Serangan dan Mekanisme Persistensi
Tim DART menemukan bahwa SesameOp disebarkan melalui loader yang sangat terobfuskasi dan backdoor berbasis .NET, disuntikkan ke beberapa utilitas Microsoft Visual Studio melalui teknik AppDomainManager injection.
Setelah aktif, malware ini akan:
- Menanamkan web shell internal untuk akses jarak jauh.
- Menjalankan proses berbahaya yang tampak sah untuk espionase jangka panjang.
- Memastikan persistensi agar dapat bertahan melewati proses incident response standar.
Tidak Menyerang OpenAI, Tapi Menyalahgunakan Fiturnya
Microsoft menegaskan bahwa SesameOp tidak mengeksploitasi celah keamanan atau kesalahan konfigurasi di platform OpenAI, melainkan menyalahgunakan kemampuan API yang sah untuk tujuan jahat.
OpenAI sendiri telah menonaktifkan akun dan API key yang digunakan oleh para pelaku setelah berkolaborasi dengan Microsoft dalam investigasi.
Fitur Assistants API yang disalahgunakan ini dijadwalkan akan didepresiasi pada Agustus 2026, dan Microsoft memperkirakan akan ada upaya serupa terhadap layanan AI-as-a-platform di masa depan.
“Sifat tersembunyi dari SesameOp selaras dengan tujuannya — mempertahankan akses jangka panjang untuk operasi spionase digital,” tambah Microsoft.
Langkah Mitigasi yang Disarankan
Untuk mengurangi risiko infeksi atau serangan lanjutan, Microsoft menyarankan tim keamanan perusahaan untuk:
- 🔍 Audit log firewall untuk memeriksa koneksi mencurigakan ke layanan eksternal.
- 🛡️ Aktifkan fitur tamper protection pada endpoint.
- 🚫 Gunakan mode blokir pada sistem EDR (Endpoint Detection & Response).
- 📡 Pantau aktivitas outbound yang melibatkan API publik atau layanan cloud pihak ketiga.
Serangan SesameOp menunjukkan bahwa penjahat siber kini mulai mengeksploitasi platform AI populer sebagai infrastruktur kontrol tersembunyi, memanfaatkan reputasi layanan sah seperti OpenAI untuk menghindari deteksi keamanan.
Sumber: Microsoft, BleepingComputer