La Agencia de Seguridad Cibernética (CSA) de Singapur reveló el lunes que el grupo de ciberespionaje China-nexus conocido como UNC3886 apuntó a su sector de telecomunicaciones.
«UNC3886 había lanzado una campaña deliberada, específica y bien planificada contra el sector de telecomunicaciones de Singapur», CSA dicho. «Los cuatro principales operadores de telecomunicaciones ('telcos') de Singapur (M1, SIMBA Telecom, Singtel y StarHub) han sido blanco de ataques».
Este acontecimiento se produce más de seis meses después de que el Ministro Coordinador de Seguridad Nacional de Singapur, K. Shanmugam, acusado UNC3886 de atacar objetivos de amenazas estratégicas de alto valor. Se considera que UNC3886 está activo desde al menos 2022 y se dirige a dispositivos de borde y tecnologías de virtualización para obtener acceso inicial.
En julio de 2025, Sygnia revelado detalles de una campaña de ciberespionaje a largo plazo atribuida a un grupo de amenazas que rastrea como Fire Ant y que comparte herramientas y objetivos se superponen con UNC3886, indicando que el adversario se infiltra en los entornos VMware ESXi y vCenter de las organizaciones, así como en los dispositivos de red.
Al describir UNC3886 como una amenaza persistente avanzada (APT) con «capacidades profundas», la CSA dijo que los actores de la amenaza desplegaron herramientas sofisticadas para obtener acceso a los sistemas de telecomunicaciones, en un caso incluso armaron un exploit de día cero para eludir un firewall perimetral y desviar una pequeña cantidad de datos técnicos para promover sus objetivos operativos. Los detalles exactos de la falla no fueron revelados.
En un segundo caso, se dice que UNC3886 implementó rootkits para establecer un acceso persistente y ocultar sus rastros para pasar desapercibidos. Otras actividades realizadas por el actor de amenazas incluyen obtener acceso no autorizado a «algunas partes» de las redes y sistemas de telecomunicaciones, incluidas aquellas consideradas críticas, aunque se evalúa que el incidente no fue lo suficientemente grave como para interrumpir los servicios.
CSA dijo que organizó una operación cibernética denominada CYBER GUARDIAN para contrarrestar la amenaza y limitar el movimiento de los atacantes en las redes de telecomunicaciones. También enfatizó que no hay evidencia de que el actor de amenazas haya extraído datos personales, como registros de clientes, o haya cortado la disponibilidad de Internet.
«Desde entonces, los ciberdefensores implementaron medidas correctivas, cerraron los puntos de acceso de UNC3886 y ampliaron las capacidades de monitoreo en las empresas de telecomunicaciones objetivo», dijo la agencia.
Fuente