La Agencia de Seguridad Cibernética (CSA) de Singapur reveló el lunes que el grupo de ciberespionaje nexo con China conocido como UNC3886 se dirigió a su sector de telecomunicaciones.
«La UNC3886 lanzó una campaña deliberada, específica y bien planificada contra el sector de las telecomunicaciones de Singapur», dijo la CSA dijo . «Los cuatro principales operadores de telecomunicaciones ('telcos') de Singapur (M1, SIMBA Telecom, Singtel y StarHub) han sido objeto de ataques».
La noticia se produce más de seis meses después de que el Ministro Coordinador de Seguridad Nacional de Singapur, K. Shanmugam, acusado UNC3886 sobre atacar objetivos de amenazas estratégicas de alto valor. Se estima que la UNC3886 está activa desde al menos 2022 y se centra en los dispositivos periféricos y las tecnologías de virtualización para obtener el acceso inicial.
adsenseEn julio de 2025, Sygnia divulgado Los detalles de una campaña de ciberespionaje a largo plazo atribuida a un grupo de amenazas al que rastrea como Fire Ant y que comparte herramientas y objetivos se superponen con la UNC3886, ya que afirma que el adversario se infiltra en los entornos VMware ESXi y vCenter de las organizaciones, así como en los dispositivos de red.
Al describir la UNC3886 como una amenaza persistente avanzada (APT) con «capacidades profundas», la CSA afirmó que los actores de la amenaza utilizaron herramientas sofisticadas para acceder a los sistemas de telecomunicaciones y, en un caso, incluso utilizaron como arma un exploit de día cero para eludir un firewall perimetral y desviar una pequeña cantidad de datos técnicos para promover sus objetivos operativos. No se revelaron los detalles exactos de la falla.
En un segundo caso, se dice que UNC3886 utilizó rootkits para establecer un acceso persistente y ocultar sus huellas para que pasaran desapercibidos. Otras actividades emprendidas por el autor de la amenaza incluyen el acceso no autorizado a «algunas partes» de las redes y sistemas de las empresas de telecomunicaciones, incluidas las que se consideran críticas, aunque se estima que el incidente no fue lo suficientemente grave como para interrumpir los servicios.
La CSA dijo que organizó una operación cibernética denominada CYBER GUARDIAN para contrarrestar la amenaza y limitar el movimiento de los atacantes hacia las redes de telecomunicaciones. También hizo hincapié en que no hay pruebas de que el autor de la amenaza haya extraído datos personales, como los registros de clientes, o haya interrumpido la disponibilidad de Internet.
«Desde entonces, los ciberdefensores han implementado medidas correctivas, cerrado los puntos de acceso de la UNC3886 y ampliado las capacidades de monitoreo en las compañías de telecomunicaciones objetivo», dijo la agencia.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS