중국 연계 UNC3886, 사이버 스파이 캠페인에서 싱가포르 텔레콤 부문을 표적

Source: The Hacker News

개요

싱가포르 사이버 보안청(CSA)은 중국과 연계된 사이버 스파이 그룹 **UNC3886**이 국가의 통신 부문을 표적으로 삼았다고 발표했습니다. CSA에 따르면 “UNC3886은 싱가포르 통신 부문을 대상으로 의도적이고, 목표가 명확하며, 잘 계획된 캠페인을 시작했습니다.” 주요 싱가포르 통신 4사인 M1, SIMBA Telecom, Singtel, StarHub 모두 영향을 받았습니다.

Background

• 이 캠페인은 6개월 이상 전에 싱가포르 국가안보조정부 장관 K. 샨무감이 UNC3886이 고가치 전략 목표를 타격했다고 비난한 진술에 이어 진행됩니다.
• UNC3886은 최소 2022년부터 활동해 왔으며, 초기 접근을 확보하기 위해 엣지 디바이스와 가상화 기술에 집중하고 있습니다.

Related Threat Activity

2025년 7월, 보안 업체 Sygnia는 Fire Ant라 부르는 위협 클러스터와 연관된 장기적인 스파이 활동 캠페인을 공개했으며, 이는 UNC3886과 도구 및 타깃 겹침을 공유합니다. 적은 VMware ESXi 및 vCenter 환경과 네트워크 어플라이언스를 침투합니다.

Technical Tactics

• Zero‑day exploitation – 최소 한 건의 사건에서 UNC3886은 제로데이 익스플로잇을 무기화하여 주변 방화벽을 우회하고 소량의 기술 데이터를 유출했습니다. 구체적인 취약점은 공개되지 않았습니다.
• Rootkits – 이 그룹은 루트킷을 배포하여 지속적인 접근 권한을 유지하고 활동을 은폐했습니다.
• Network intrusion – 통신망 및 시스템의 “일부 부분”에 무단 접근이 이루어졌으며, 여기에는 핵심 구성 요소도 포함됩니다. 해당 사건들은 서비스 중단을 초래하지 않았습니다.

CSA 응답

CSA는 위협에 대응하고 통신망 내 공격자 이동을 제한하기 위해 CYBER GUARDIAN이라는 사이버 작전을 시작했습니다. 주요 조치는 다음과 같습니다:

• 대상 통신사 전반에 걸친 복구 조치 시행.
• UNC3886의 접근 지점 차단.
• 모니터링 역량 확대.

기관은 개인 데이터(예: 고객 기록)의 유출이나 인터넷 서비스 중단에 대한 증거가 없다고 강조했습니다.

참고 문헌

• UNC3886 프로필 – The Hacker News (2025년 3월)
• CSA 보도 자료 – UNC3886에 대한 다중 기관 사이버 작전 (2025년 3월)
• K. Shanmugam의 고발 – The Hacker News (2025년 7월)
• Sygnia의 Fire Ant 공개 – The Hacker News (2025년 7월)

태그: 고급 지속 위협, 사이버 스파이 활동, 사이버 보안, 네트워크 보안, 루트킷, 싱가포르, 위협 인텔리전스, 제로데이