La Agencia de Seguridad Cibernética (CSA) de Singapur reveló el lunes que el especie de ciberespionaje China-nexus conocido como UNC3886 apuntó a su sector de telecomunicaciones.
“UNC3886 había agresivo una campaña deliberada, específica y perfectamente planificada contra el sector de telecomunicaciones de Singapur”, dijo CSA. “Los cuatro principales operadores de telecomunicaciones (‘telcos’) de Singapur (M1, SIMBA Telecom, Singtel y StarHub) han sido blanco de ataques”.
Este acontecimiento se produce más de seis meses posteriormente de que el Ministro Coordinador de Seguridad Doméstico de Singapur, K. Shanmugam, acusara al UNC3886 de atacar objetivos de parada valencia táctico. Se considera que UNC3886 está activo desde al menos 2022 y se dirige a dispositivos de borde y tecnologías de virtualización para obtener paso auténtico.
En julio de 2025, Sygnia reveló detalles de una campaña de ciberespionaje a liberal plazo atribuida a un especie de amenazas que rastrea como Fire Ant y que comparte herramientas y objetivos superpuestos con UNC3886, afirmando que el adversario se infiltra en los entornos VMware ESXi y vCenter de las organizaciones, así como en los dispositivos de red.
Al describir UNC3886 como una amenaza persistente vanguardia (APT) con “capacidades profundas”, la CSA dijo que los actores de la amenaza implementaron herramientas sofisticadas para obtener paso a los sistemas de telecomunicaciones, en un caso incluso armaron un exploit de día cero para eludir un firewall perimetral y desviar una pequeña cantidad de datos técnicos para promover sus objetivos operativos. Los detalles exactos de la error no fueron revelados.
En un segundo caso, se dice que UNC3886 implementó rootkits para establecer un paso persistente y ocultar sus rastros para suceder desapercibidos. Otras actividades realizadas por el actor de amenazas incluyen obtener paso no facultado a “algunas partes” de las redes y sistemas de telecomunicaciones, incluidas aquellas consideradas críticas, aunque se evalúa que el incidente no fue lo suficientemente oneroso como para interrumpir los servicios.
CSA dijo que organizó una operación cibernética denominada CYBER GUARDIAN para contrarrestar la amenaza y jalonar el movimiento de los atacantes en las redes de telecomunicaciones. Incluso enfatizó que no hay evidencia de que el actor de amenazas haya extraído datos personales, como registros de clientes, o haya cortado la disponibilidad de Internet.
“Desde entonces, los ciberdefensores implementaron medidas correctivas, cerraron los puntos de paso de UNC3886 y ampliaron las capacidades de monitoreo en las empresas de telecomunicaciones objetivo”, dijo la agencia.
