Am 3. November 2025 veröffentlichte Microsoft einen Sicherheitsbericht, der uns aufhorchen ließ: Ein neuartiger Angriff mit dem Codenamen SesameOp nutzt legitime KI-Infrastruktur – genauer gesagt das OpenAI Assistants API – als Kommunikationskanal für eine Schadsoftware-Backdoor.

Brisant an der Sache: Der Angreifer verwendet keinen klassischen Command-and-Control-Server (C2), sondern tarnt seine Aktivitäten geschickt hinter der Kommunikation mit einem vertrauenswürdigen Cloud-Dienst. Dadurch verschwimmen die Grenzen zwischen legitimen KI-Anfragen und schädlichen Aktivitäten – ein Albtraum für herkömmliche Abwehrmechanismen.

Was ist „SesameOp“?

Laut Microsofts Digital Security Unit (DSU) und dem Defender Threat Intelligence Team wurde „SesameOp“ im Sommer 2025 erstmals entdeckt. Die Schadsoftware missbraucht das OpenAI Assistants API, um Befehle zu empfangen, auszuführen und Ergebnisse zurückzusenden.

So läuft der Angriff ab

• Initiale Infektion: Der Angreifer verschafft sich Zugang über kompromittierte Web-Server und platziert Web-Shells.
• Persistenz: Über eine raffinierte .NET-Injection („AppDomainManager Injection“) wird eine manipulierte DLL (Netapi64.dll) in legitime Prozesse geladen.
• Kommunikation: Die Malware ruft regelmäßig Daten über das OpenAI-API ab – scheinbar harmlose API-Calls, die in Wirklichkeit verschlüsselte Befehle enthalten.
• Verschleierung: Ergebnisse und Befehle werden verschlüsselt (AES + RSA), komprimiert und Base64-kodiert übermittelt.

Warum das gefährlich ist

Bei dieser Angriffstechnik werden legitime Dienste genutzt. Klassische Firewalls oder Sicherheitslösungen blockieren den dadurch erzeugten API-Traffic zu OpenAI in der Regel nicht, da er in vielen Unternehmen für Chatbots, Copilots oder KI-Projekte benötigt wird. Das Ergebnis: Eine Schadsoftware, die mitten durch die Abwehr hindurch mit ihrem Operator kommuniziert – völlig unauffällig.

Keine Schwachstelle, sondern Missbrauch

Cyberangreifer verschieben ihre Infrastruktur zunehmend in legitime Cloud-Umgebungen, um dort unter dem Radar zu agieren. Microsoft betont allerdings ausdrücklich, dass es keine Sicherheitslücke in OpenAI oder Microsoft-Diensten gibt. Die Angreifer haben offensichtlich die öffentlichen Schnittstellen zweckentfremdet, wie bei früheren Angriffen, bei denen Cloud-Dienste wie Dropbox, Google Drive oder Telegram zur Tarnung mißbraucht wurden.

Risiken für Unternehmen

1. Erschwerte Erkennung:
   KI-APIs wie OpenAI werden selten blockiert, sodass der Datenverkehr kaum auffällt.
2. Missbrauch interner Integrationen:
   Wenn im Unternehmen OpenAI- oder andere LLM-APIs genutzt werden, können kompromittierte Systeme denselben Zugang ausnutzen.
3. Langlebige Persistenz:
   Die Schadsoftware kann über Wochen oder Monate Befehle empfangen, ohne dass auffälliger Netzwerkverkehr entsteht.

Schutzmaßnahmen

Microsoft hat in seinem Bericht eine Reihe konkreter Gegenmaßnahmen empfohlen. Wir haben sie ergänzt und hier zu einer praxisorientierten Abwehr-Checkliste zusammengefasst.

Netzwerküberwachung & Erkennung

• Überwache API-Zugriffe auf Domains wie api.openai.com oder assistants.openai.com.
• Analysiere Traffic-Muster: Häufige oder anhaltende HTTPS-Verbindungen sind verdächtig.
• Verwende SIEM-Regeln, um unautorisierte KI-Kommunikation zu erkennen.
• Beschränke API-Zugriffe auf genehmigte Systeme per Firewall oder Proxy-Allow-List.

Endpoint-Schutz

• Aktiviere Microsoft Defender Antivirus im Block-Modus.
• Aktiviere Tamper Protection und Cloud-Delivered Protection.
• Nutze PUA-Schutz (potenziell unerwünschte Anwendungen blockieren).
• Überwache verdächtige .NET-Aktivitäten wie AppDomain-Registrierungen und DLL-Injection.

Log-Analysen & Threat Hunting

• Suche nach .NET Runtime-Anomalien, nicht autorisierten DLL-Ladevorgängen oder ungewöhnlichen Prozessen.
• Beispielhafte Defender-Query: DeviceNetworkEvents | where RemoteUrl endswith „api.openai.com“ | where InitiatingProcessFileName !in~ („python.exe“, „node.exe“, „chrome.exe“, „code.exe“)
• Prüfe Datei-Hashes und Prozess-Signaturen gegen aktuelle Threat-Intel-Feeds.

Identitäts- und Zugriffsmanagement

• Überprüfe regelmäßig alle verwendeten API-Keys.
• Implementiere MFA und Conditional Access Policies auch für Service-Konten.
• Verwende das Least Privilege-Prinzip für API-Berechtigungen.

Serverhärtung & Patch-Management

• Halte Webserver, Frameworks und Libraries aktuell.
• Deaktiviere unnötige Dienste oder Module (z. B. AppDomain-Loader).
• Setze AppLocker oder Windows Defender Application Control (WDAC) ein, um nicht signierte DLLs zu blockieren.

Vorfallreaktion

• Verdächtige Systeme sofort isolieren.
• Speicherabbilder und Netzwerkdumps sichern.
• Verdächtige Dateien (z. B. Netapi64.dll) an das Forensik-Team weitergeben.
• Alle kompromittierten API-Keys widerrufen und neu ausstellen.

Prävention durch Governance

• Erstelle interne Richtlinien zur Nutzung externer KI-APIs.
• Verwende Azure API Management oder Defender for Cloud Apps, um API-Traffic zu überwachen.
• Dokumentiere und genehmige jeden KI-API-Zugang zentral.

Schulung & Awareness

• Sicherheitsteams zu „AI-as-C2“-Angriffen schulen.
• Entwickler sensibilisieren: keine API-Keys im Code oder in Logs.
• SOC-Analysten mit aktuellen Indicators of Compromise (IoCs) vertraut machen.

KI ist das neue Schlachtfeld der IT-Sicherheit

Der Fall „SesameOp“ markiert einen Wendepunkt. Was einst ein theoretisches Risiko war – die Nutzung von KI-APIs als Tarnung für Angriffe – ist nun Realität.

Unternehmen, die KI-Dienste produktiv einsetzen, müssen ihre Sicherheitsarchitektur entsprechend anpassen.
Das bedeutet: Nicht nur KI-Modelle schützen, sondern auch die Kommunikationskanäle überwachen, über die diese Modelle angesprochen werden.

Die Zukunft der Cyberabwehr liegt in der intelligenten Erkennung von Missbrauch legitimer Systeme – nicht nur in der Jagd nach klassischer Malware.