UNC3886として追跡されている中国の脅威アクターが、昨年、シンガポール最大の通信サービスプロバイダー4社であるSingtel、StarHub、M1、Simbaに少なくとも1回侵入しました。
ハッカーは重要システムへの限定的なアクセスも得ましたが、サービスを妨害できるほど深くは侵入しませんでした。
2025年7月に公表されたこれらの侵入を受け、シンガポールは通信事業者のネットワーク上での敵対者の活動を抑えるため「Operation Cyber Guardian」を展開しましたが、当時は詳細がほとんど共有されませんでした。
「ここ数か月にわたる当局の調査により、UNC3886がシンガポールの通信セクターに対して、意図的で標的を絞った、周到に計画されたキャンペーンを展開していたことが示されています」と、シンガポールのサイバーセキュリティ庁(CSA)は述べています。
最新の更新によると、攻撃者はゼロデイ脆弱性を悪用して通信事業者の境界ファイアウォールを回避し、目的達成のために技術データを窃取しました。
同庁は別の侵入事案で、UNC3886がルートキットに依存し、秘匿性を保ちながら、非公開の期間にわたって永続化していたことを確認しました。
4大事業者すべてで侵害が確認されたものの、シンガポール当局は、機微な顧客データにアクセスされた、または盗まれた証拠は見つからず、いかなる時点でもサービスの中断はなかったとしています。
CSAと情報通信メディア開発庁(IMDA)は、通信事業者から不審な活動に関する報告を受け、6つの政府機関から100人以上の調査員を動員しました。
当局は、迅速な対応により侵害を封じ込め、侵入経路を閉鎖し、他の重要インフラへの監視を拡大したことで、銀行、交通、医療分野の組織への横展開(ピボット)を阻止した可能性があると主張しています。
「これまでのところ、UNC3886による攻撃は、他地域でのサイバー攻撃と同程度の被害には至っていません」と、デジタル開発・情報担当大臣のジョセフィン・テオ氏は本日、公式の対話イベントで述べました。
「これは祝うべき理由ではなく、サイバー防衛に携わる人々の仕事が重要であることを改めて自覚するためのものです」と大臣は述べました。
2024年末には、Salt Typhoonとして知られる中国と連携する国家系ハッカーが、複数の米国ブロードバンド事業者に侵入し、これら企業の法執行向けネットワーク盗聴システムから情報にアクセスしていたことが明らかになりました。
2025年半ばには、カナダ政府も同じ脅威グループによる侵入を公表し、Cisco IOS XEの脆弱性を悪用して通信企業に侵入したとしています。
UNC3886は2023年以降、Mandiantの研究者によって追跡されており、FortiGateファイアウォール(CVE-2022-41328)、VMware ESXi(CVE-2023-20867)、およびVMware vCenter Serverのエンドポイント(CVE-2023-34048)におけるゼロデイ脆弱性を悪用して、政府機関、通信企業、テクノロジー企業を標的にしてきました。
シンガポールの事例では、当局はどのゼロデイ脆弱性が悪用されたのか、またどの製品/ベンダーに影響したのかを明らかにしていません。
