サイバー犯罪者のコミュニティ内で、「Weyhro C2」として知られる新たなコマンド&コントロール(C2)フレームワークの出現が確認されています。その宣伝は同名のランサムウェアグループの活動と時期を同じくしており、既製の攻撃ツールを商品化することで収益源を多角化しようとする動きが示唆されます。
12月上旬、Weyhroという別名で活動するユーザーが、地下フォーラムにWeyhro C2の販売広告を投稿し、完全なコマンドサーバー基盤に支えられた秘匿作戦向けの高度なツールキットとして提示しました。この製品は、企業環境においてアンチウイルスソフトや侵入検知システムを回避する手段として売り込まれており、初期侵入から永続化、侵害後活動(ポストエクスプロイト)まで、侵害ライフサイクル全体をカバーするとされています。
Weyhro C2はモジュラーアーキテクチャ上に構築されています。構成要素には、リモートコマンドシェル、トラフィックをトンネリングするためのSOCKS5プロキシ、ブラウザセッションを乗っ取れるステルス性の高いHVNCリモートデスクトップモジュール、そしてKerberosチケットを扱う機能が含まれます。さらに、ファイル管理や、ポリモーフィズム、データ暗号化、Windows標準のセキュリティ機構の無効化といった高度な回避技術も備えています。
研究者によれば、悪性エージェントは完全にメモリ上で動作し、専用ローダーによって展開されます。配布はサブスクリプションモデルで、月額約3,000米ドルに設定され、支払いは暗号資産で受け付けられます。販売者は、CIS諸国内でのツール使用を明確に禁止しています。
分析の結果、Weyhro C2は、2025年春に出現したWeyhroランサムウェアグループと密接に関連していることが示されています。時期とインフラの重なりは、データ暗号化にとどまらず、地下エコシステムの他アクターに独自ツールを販売する方向へと舵を切った単一の運用者の存在を強く示唆します。
技術面では、Weyhro C2はChaCha20アルゴリズムを用いて文字列や関数を隠蔽する精巧な仕組み、補助コンポーネントを復号するためのカスタムAES実装、そして実行コードをディスクに書き込まずに読み込むメカニズムを組み込んでいます。防御制御に対抗するため、ファイルシステムから元のWindowsライブラリを復元し、メモリ上でコードをパッチすることでETWログ記録とAMSIインターフェースを無効化します。
永続化は、実行ファイルをAppDataディレクトリにコピーし、レジストリの自動実行キーにエントリを追加することで実現されます。横展開やさらなる侵害のために、このフレームワークは正規のWindowsプロセスへのコードインジェクションや、ユーザーから見えない隠し実行環境の展開をサポートします。
とはいえ、アナリストは顕著な弱点を指摘しています。コマンドサーバーとの通信が暗号化されておらず平文で行われるため、ネットワークトラフィック分析によって活動を検知しやすいのです。それでもWeyhro C2の登場は、ランサムウェア運用者が「サービスとして」汎用的な攻撃プラットフォームを販売する方向へと、ますます転換しているという広範な傾向を裏付けています。
