La Agencia de Seguridad Cibernética de Singapur (CSA) reveló el lunes que un grupo de ciberespionaje alineado con China conocido como UNC3886 había apuntado al sector de telecomunicaciones de Singapur.
«UNC3886 ha lanzado una campaña deliberada, específica y bien planificada contra el sector de telecomunicaciones de Singapur», dijo la CSA. «Los cuatro principales operadores de telecomunicaciones (‘telcos’) de Singapur (M1, SIMBA Telecom, Singtel y StarHub) han sido blanco de ataques. «
El acontecimiento se produce más de seis meses después de que el Ministro Coordinador de Seguridad Nacional de Singapur, K. Shanmugam, acusara al UNC3886 de atacar objetivos de amenaza estratégica de alto valor. Se estima que UNC3886 ha estado activo desde al menos 2022 y está dirigido a dispositivos de borde y tecnologías de virtualización para obtener acceso temprano.
En julio de 2025, Sygnia reveló detalles de una campaña de ciberespionaje a largo plazo derivada de un grupo de amenazas que rastrea como Fire Ant y comparte herramientas y objetivos superpuestos con UNC3886, diciendo que los atacantes se estaban infiltrando en los entornos y dispositivos de red VMware ESXi y vCenter de la organización.
Al describir UNC3886 como una amenaza persistente avanzada (APT) con «capacidades profundas», la CSA dijo que los atacantes desplegaron herramientas sofisticadas para obtener acceso a los sistemas de comunicaciones, en algunos casos armados con exploits de día cero para eludir los cortafuegos perimetrales y desviar pequeñas cantidades de datos técnicos para promover sus objetivos operativos. Los detalles exactos del defecto no fueron revelados.
En el segundo caso, UNC3886 supuestamente implementó un rootkit para obtener acceso persistente y cubrir sus huellas bajo el radar. Otras actividades llevadas a cabo por actores de amenazas incluyen obtener acceso no autorizado a «partes» de redes y sistemas de comunicaciones, incluidos aquellos considerados críticos, aunque no se consideró que el incidente fuera lo suficientemente significativo como para interrumpir el servicio.
CSA anunció que ha lanzado una operación cibernética llamada «CYBER GUARDIAN» para contrarrestar esta amenaza y limitar el movimiento de atacantes hacia las redes de comunicaciones. También enfatizó que no hay evidencia de que los atacantes hayan comprometido datos personales como registros de clientes o hayan interrumpido el acceso a Internet.
«Posteriormente, los ciberdefensores tomaron medidas correctivas, cerrando los puntos de acceso de UNC3886 y ampliando sus capacidades de vigilancia de los operadores objetivo», dijo la agencia.
Source link
