Carísimo, potente y torpe: hackers vendieron un «software de élite» por miles de dólares y olvidaron cifrar el tráfico C2
Weyhro C2 inyecta código en procesos legítimos del sistema para desplegar un entorno de trabajo oculto
En el entorno del ciberdelito se ha registrado aparecimiento de una nueva herramienta de control de sistemas infectados denominada Weyhro C2. Su promoción coincidió con la actividad del grupo extorsionador homónimo y apunta a un intento de diversificar las fuentes de ingresos mediante la venta de soluciones ofensivas listas para usar.
A comienzos de diciembre, un usuario con el alias Weyhro publicó en uno de los foros un anuncio de venta de Weyhro C2, presentando el producto como un conjunto avanzado para operaciones encubiertas con una infraestructura de servidor de mando y control completa. La herramienta se presenta como un medio para eludir antivirus y sistemas de detección de ataques en redes corporativas y abarca todas las etapas de la compromisión — desde el acceso inicial hasta la consolidación y el posterior desarrollo del ataque.
La arquitectura de Weyhro C2 está construida con un principio modular. Su composición incluye una consola de comandos remota, un proxy SOCKS5 para tunelizar tráfico, un mecanismo de escritorio remoto oculto HVNC con capacidad para interceptar sesiones de navegador, así como un módulo para trabajar con tickets Kerberos. Adicionalmente se anuncian funciones de gestión de archivos y métodos avanzados de evasión de detección, incluyendo polimorfismo, cifrado de datos y desactivación de mecanismos de protección integrados en Windows.
Los especialistas señalan que el agente malicioso opera exclusivamente en memoria y se carga mediante un cargador independiente. La difusión se realiza por suscripción con un coste de alrededor de 3000 dólares al mes, y el pago se acepta en criptomoneda. Además, el vendedor indica de forma explícita la prohibición de usar la herramienta en los países de la CEI.
El análisis mostró que Weyhro C2 está estrechamente vinculado al grupo extorsionador Weyhro, que se dio a conocer en la primavera de 2025. La coincidencia de plazos e infraestructura permite suponer que se trata del mismo operador que decidió ir más allá del cifrado de datos y comenzar a vender sus propios desarrollos a otros participantes del submundo.
La disposición técnica de Weyhro C2 incluye un complejo sistema de ocultación de cadenas y funciones que utiliza el algoritmo ChaCha20, una implementación propia de AES para descifrar componentes adicionales y mecanismos de carga de código ejecutable sin escribir en disco. Para contrarrestar las medidas de protección aplica la restauración de las bibliotecas originales de Windows desde el sistema de archivos, así como la desactivación del registro ETW y de la interfaz AMSI mediante la modificación del código en memoria.
La persistencia en el sistema se logra copiando el archivo ejecutable en el directorio AppData y añadiendo una entrada en la rama de inicio automático del registro. Para el desarrollo posterior del ataque se contemplan inyecciones de código en procesos legítimos de Windows y el despliegue de un entorno de trabajo oculto, invisible para el usuario.
Sin embargo, los especialistas señalan un punto débil de la herramienta: la interacción de red con el servidor de control se realiza en texto claro sin cifrado, lo que facilita la detección de la actividad al analizar el tráfico. No obstante, la aparición de Weyhro C2 confirma la tendencia de que los operadores de programas de extorsión cada vez más optan por vender plataformas universales para ataques.
¿Estás cansado de que Internet sepa todo sobre ti?