Cơ quan An ninh Mạng (CSA) Singapore vào thứ Hai đã tiết lộ rằng nhóm gián điệp mạng có liên hệ với Trung Quốc, được biết đến với tên UNC3886, đã nhắm mục tiêu vào lĩnh vực viễn thông của nước này.
"UNC3886 đã phát động một chiến dịch có chủ ý, có mục tiêu và được lên kế hoạch kỹ lưỡng chống lại ngành viễn thông của Singapore," CSA cho biết. "Cả bốn nhà mạng lớn của Singapore – M1, SIMBA Telecom, Singtel và StarHub – đều là mục tiêu của các cuộc tấn công."
Sự phát triển này diễn ra hơn sáu tháng sau khi Bộ trưởng Điều phối An ninh Quốc gia Singapore, K. Shanmugam, cáo buộc UNC3886 tấn công các mục tiêu chiến lược có giá trị cao. UNC3886 được đánh giá là đã hoạt động từ ít nhất năm 2022, nhắm vào các edge devices và virtualization technologies để giành quyền truy cập ban đầu.
Vào tháng 7 năm 2025, Sygnia đã tiết lộ chi tiết về một chiến dịch gián điệp mạng dài hạn được cho là do một threat cluster mà họ theo dõi dưới tên Fire Ant và có sự trùng lặp về tooling và targeting với UNC3886, tuyên bố rằng kẻ thù xâm nhập vào các môi trường VMware ESXi và vCenter của các tổ chức cũng như các network appliances.
Mô tả UNC3886 là một advanced persistent threat (APT) với "khả năng chuyên sâu", CSA cho biết các threat actors đã triển khai các công cụ tinh vi để truy cập vào các hệ thống telco, trong một trường hợp thậm chí còn weaponizing một zero-day exploit để bypass một perimeter firewall và siphon một lượng nhỏ technical data để thúc đẩy các operational objectives của chúng. Các chi tiết cụ thể về flaw không được tiết lộ.
Trong một trường hợp thứ hai, UNC3886 được cho là đã triển khai rootkits để thiết lập persistent access và conceal tracks của chúng để hoạt động under the radar. Các hoạt động khác được thực hiện bởi threat actor bao gồm gaining unauthorized access vào "một số phần" của telco networks và systems, bao gồm cả những phần được coi là critical, mặc dù được đánh giá rằng incident không đủ nghiêm trọng để disrupt services.
CSA cho biết họ đã triển khai một cyber operation có tên CYBER GUARDIAN để đối phó với threat và limit the attackers' movement vào telecom networks. Cơ quan này cũng nhấn mạnh rằng không có bằng chứng nào cho thấy threat actor đã exfiltrated personal data như customer records hoặc cut off internet availability.
"Cyber defenders đã triển khai các remediation measures, closed off UNC3886’s access points, và expanded monitoring capabilities trong các telcos bị nhắm mục tiêu," cơ quan này cho biết.
