A Agência de Cibersegurança de Singapura (CSA) revelou, na segunda-feira, que o grupo de cyber espionage ligado à China, conhecido como UNC3886, teve como alvo o setor de telecomunicações do país.
Segundo a CSA, "o UNC3886 lançou uma campanha deliberada, direcionada e bem planejada contra o setor de telecomunicações de Singapura".
As quatro principais operadoras locais — M1, SIMBA Telecom, Singtel e StarHub — foram alvo dos ataques.
A divulgação ocorre mais de seis meses após o Ministro Coordenador de Segurança Nacional de Singapura, K.
Shanmugam, acusar o grupo UNC3886 de atacar alvos estratégicos de alto valor.
Estima-se que o grupo esteja ativo desde pelo menos 2022, com foco em edge devices e tecnologias de virtualização para obter acesso inicial.
Em julho de 2025, a empresa Sygnia detalhou uma campanha de espionagem cibernética de longo prazo atribuída a um grupo conhecido como Fire Ant, que compartilha ferramentas e objetivos semelhantes aos do UNC3886.
O adversário infiltra ambientes VMware ESXi e vCenter, além de appliances de rede.
A CSA classificou o UNC3886 como uma ameaça persistente avançada (APT) com "capacidades profundas".
O grupo usou ferramentas sofisticadas para invadir os sistemas das operadoras, incluindo a exploração de um zero-day para contornar firewalls perimetrais e extrair pequenas quantidades de dados técnicos para avançar seus objetivos operacionais.
Os detalhes específicos da vulnerabilidade não foram divulgados.
Em outro incidente, o grupo utilizou rootkits para garantir acesso persistente e ocultar suas ações, evitando a detecção.
O adversário também teria obtido acesso não autorizado a partes consideradas críticas das redes e sistemas de telecomunicações, mas a CSA avaliou que a ação não foi grave o suficiente para interromper os serviços.
Para conter a ameaça e restringir o movimento dos invasores nas redes das telecomunicações, a CSA implementou a operação cibernética CYBER GUARDIAN.
A agência destacou que não há evidências de vazamento de dados pessoais, como registros de clientes, nem de interrupção na disponibilidade da internet.
"Os defensores cibernéticos adotaram medidas de remediação, bloquearam os pontos de acesso usados pelo UNC3886 e ampliaram a vigilância nas operadoras atingidas", afirmou a CSA.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...