中国关联的 UNC3886 在网络间谍行动中针对新加坡电信行业

Source: The Hacker News

概述

新加坡网络安全局（CSA）宣布，与中国有关的网络间谍组织 UNC3886 已针对该国的电信行业。根据CSA的说法，“UNC3886 发起了一场有意、针对性且计划周密的行动，针对新加坡的电信行业。” 四大新加坡电信运营商——M1、SIMBA Telecom、Singtel和StarHub——均受到影响。

背景

• 该行动紧随新加坡国家安全协调部长 K. Shanmugam 超过六个月前的声明，该声明指控 UNC3886 打击高价值战略目标。
• UNC3886 至少自 2022 年起活跃，专注于边缘设备和虚拟化技术以获取初始访问权限。

相关威胁活动

2025年7月，安全公司 Sygnia 透露了一场长期间谍活动，该活动归因于他们称为 Fire Ant 的威胁集群，该集群在工具和目标上与 UNC3886 有重叠。对手渗透了 VMware ESXi 和 vCenter 环境以及网络设备。

技术策略

• Zero‑day exploitation – 至少在一次事件中，UNC3886 利用零日漏洞绕过外围防火墙并外泄少量技术数据。具体漏洞未披露。
• Rootkits – 该组织部署 rootkit 以保持持久访问并隐藏其活动。
• Network intrusion – 未经授权访问了电信网络和系统的“部分”区域，包括关键组件。这些事件未导致服务中断。

CSA 响应

CSA 发起了名为 CYBER GUARDIAN 的网络行动，以应对威胁并限制攻击者在电信网络中的活动。关键措施包括：

• 在受影响的电信运营商中实施修复措施。
• 关闭 UNC3886 的访问点。
• 扩大监控能力。

该机构强调，没有证据表明个人数据（例如客户记录）被泄露或互联网服务受到中断。

参考文献

• UNC3886 概况 – The Hacker News（2025 年 3 月）
• CSA 关于 UNC3886 的新闻稿
• K. Shanmugam 的指控 – The Hacker News（2025 年 7 月）
• Sygnia 对 Fire Ant 的披露 – The Hacker News（2025 年 7 月）

标签: 高级持续性威胁, 网络间谍活动, 网络安全, 网络安全防护, 根套件, 新加坡, 威胁情报, 零日漏洞