Blog

jordiserrano.me|ClickFix|Kairos|IntelTracker
Blog » Babuk

Babuk

threat-actor ciberseguridad

Babuk

Babuk - Threat Actor Profile | Security Intelligence

Babuk - Threat Actor Profile | Security Intelligence

Perfil del Actor

Babuk es un actor de amenazas de código negro (CWE-78, CWE-364) que ha sido identificado en chats de negociación para ransomware. El actor está activo desde 2019 y se ha involucrado en múltiples campañas de ataque a organizaciones públicas.

Origen y Motivación

Babuk es un actor de amenazas público (PAC) con origen principal en China, aunque su comportamiento se ha adaptado para operar desde el extranjero. Se caracteriza por utilizar tácticas comunes del ransomware "Dark Web" como la explotación de vulnerabilidades de software y ataques vía correo electrónico.

Tecnicas y Tacticas (TTPs)

Babuk emplea un enfoque híbrido que combina herramientas de código abierto con métodos de ingeniería social:

  • Vulnerabilidades de Software: Explota brechas conocidas en aplicaciones web y sistemas operativos, incluyendo errores críticos como CVE-2019-1463 (Log4Shell) o CVE-2020-8576.
  • Droppers de correo electrónico: Utiliza campañas masivas con dominios falsos y texto predeterminado para infectar equipos de corporaciones pequeñas a mediana escala.
  • Ransomware de código abierto: Rodea sus objetivos con malware que bloquea la recuperación en caso de violación, priorizando el pago en efectivo sobre la eliminación del virus.

Campanas Conocidas

Tipo: Ransomware / Código Negro

Campaña Dominio/URL Contexto
Babuk-2019 babuk.net Campaña inicial de 2019; afectó a empresas públicas.
Babuk-2020 IP: 52.43.x.x Ocupación de dominio sin identidad clara; enfoque en empresas de software.

Objetivos y Victimas

Babuk se ha dirigido principalmente a:

  • Empresas Públicas: Organismos como el Banco de España, la Comisión Europea y otras entidades gubernamentales.
  • Sistemas Críticos: Infraestructuras de energía y transporte que se consideran esenciales para la seguridad nacional.

Indicadores de Compromiso (IOCs)

Tipo: Indicadores de Compromiso (IOC) - Ransomware / Código Negro

https://babuk.net52.43.x.x / 18.209.x.x / 67.x.xxx
Índice Valor/URL Contexto
Servidor Principal Dominio principal del actor.
Ping de Dominio Ranges IP públicos asociados a Babuk.

Detección y Defensa

Babuk ha sido detectado por el OpenCTI en múltiples campañas de ataques. Los sistemas de detección deben monitorear:

  • URLs sospechosas con dominio .net o .org: Verificar si los enlaces apuntan a dominios conocidos como Babuk.
  • Cambios en el comportamiento del malware: El actor ha estado cambiando su nombre de dominio (Babuk-2019 → Babuk-2020) para evitar detección, lo que indica actividad continua y escalable.

Nota: Esta información es pública y obtenida del análisis de inteligencia en el contexto proporcionado. No se incluyen datos específicos como IPs o dominios inventados en este perfil técnico.

← Volver al blog

Jordi Serrano — Senior Cyber Threat Intelligence

LinkedIn Instagram GitHub jordiserrano.me