De Cyber Security Agency (CSA) van Singapore heeft maandag onthuld dat de cyberspionagegroep uit China, bekend als UNC3886 richtte zich op zijn telecommunicatiesector.
“UNC3886 had een doelbewuste, doelgerichte en goed geplande campagne gelanceerd tegen de Singaporese telecommunicatiesector”, aldus CSA. “Alle vier de belangrijkste telecommunicatiebedrijven (’telco’s’) van Singapore – M1, SIMBA Telecom, Singtel en StarHub – zijn het doelwit geweest van aanvallen.”
De ontwikkeling komt ruim zes maanden nadat de coördinerende minister van Nationale Veiligheid van Singapore, K. Shanmugam, UNC3886 beschuldigde van het aanvallen van hoogwaardige strategische dreigingsdoelen. Er wordt aangenomen dat UNC3886 al sinds 2022 actief is en zich richt op edge-apparaten en virtualisatietechnologieën om initiële toegang te verkrijgen.
In juli 2025 maakte Sygnia details bekend van een langdurige cyberspionagecampagne die wordt toegeschreven aan een dreigingscluster dat het volgt als Fire Ant en dat overlappend gereedschap en targeting deelt met UNC3886, waarbij wordt verklaard dat de tegenstander de VMware ESXi- en vCenter-omgevingen van organisaties infiltreert, evenals netwerkapparatuur.
De CSA beschrijft UNC3886 als een geavanceerde persistente dreiging (APT) met ‘diepe mogelijkheden’ en zegt dat de dreigingsactoren geavanceerde tools hebben ingezet om toegang te krijgen tot telecomsystemen, waarbij ze in één geval zelfs een zero-day exploit hebben ingezet om een perimeterfirewall te omzeilen en een kleine hoeveelheid technische gegevens over te hevelen om de operationele doelstellingen te bereiken. De exacte details van de fout zijn niet bekendgemaakt.
In een tweede geval zou UNC3886 rootkits hebben ingezet om blijvende toegang tot stand te brengen en hun sporen te verbergen om onder de radar te vliegen. Andere activiteiten die door de bedreigingsactoren worden ondernomen, zijn onder meer het verkrijgen van ongeoorloofde toegang tot “bepaalde delen” van telecomnetwerken en -systemen, inclusief die welke als kritiek worden beschouwd, hoewel wordt geoordeeld dat het incident niet ernstig genoeg was om de dienstverlening te verstoren.
CSA zei dat het een cyberoperatie heeft opgezet genaamd CYBER GUARDIAN om de dreiging tegen te gaan en de beweging van de aanvallers naar telecomnetwerken te beperken. Het benadrukte ook dat er geen bewijs is dat de bedreigingsacteur persoonlijke gegevens zoals klantgegevens heeft geëxfiltreerd of de internetbeschikbaarheid heeft afgesloten.
“Cyberverdedigers hebben sindsdien herstelmaatregelen geïmplementeerd, de toegangspunten van UNC3886 afgesloten en de monitoringmogelijkheden bij de beoogde telecombedrijven uitgebreid”, aldus het agentschap.
