كشفت وكالة الأمن السيبراني في سنغافورة بالتعاون مع هيئة تطوير الإعلام والاتصالات IMDA عن حملة تجسس سيبراني منسقة نفذتها مجموعة تهديد متقدمة تحمل اسم UNC3886، واستهدفت قطاع الاتصالات في البلاد خلال عام 2025. وقالت السلطات إن الحملة طالت الشركات الأربع الكبرى: Singtel وStarHub وM1 وSIMBA Telecom، ضمن نشاط وصفته بأنه مخطط وموجه بعناية.
وأوضحت الجهات المعنية أن الاستجابة قادتها عملية متعددة الجهات حملت الاسم الرمزي Operation CYBER GUARDIAN، واستمرت أكثر من 11 شهراً، بمشاركة أكثر من 100 مختص من جهات حكومية وأمنية وتقنية، شملت CSA وIMDA وCSIT وDIS وGovTech وISD.
وبحسب السلطات، اعتمد المهاجمون في إحدى الحالات على استغلال ثغرة غير معروفة سابقاً من نوع اليوم صفر (Zero-day) لتجاوز جدار ناري محيطي والدخول إلى شبكات شركات الاتصالات. وتمكنوا من استخراج كمية محدودة من بيانات تقنية قالت الجهات إنها ترتبط بالدرجة الأولى بتكوينات الشبكات، بما يخدم أهدافاً تشغيلية مرتبطة بالتجسس.
وفي حالة أخرى، استخدمت المجموعة Rootkits بهدف الحفاظ على وصول مستمر وإخفاء آثار النشاط، وهو ما رفع صعوبة الاكتشاف واستدعى عمليات فحص موسعة عبر الشبكات.
وعلى صعيد الأثر، قالت CSA وIMDA إن التحقيقات لم ترصد حتى الآن أدلة على وصول المهاجمين إلى بيانات شخصية أو حساسة مثل سجلات العملاء أو استخراجها، كما لم تظهر مؤشرات على تعطيل خدمات الاتصالات أو التأثير على توافر الإنترنت. وأضافت أن الوصول طال أجزاء من الشبكات والأنظمة، مع وصول محدود إلى أنظمة مصنفة حرجة دون بلوغ مرحلة تمكن من تعطيل الخدمات.
وأشارت الوكالة إلى أن فرق الدفاع السيبراني نفذت إجراءات معالجة شملت إغلاق نقاط الدخول وتوسيع قدرات المراقبة والرصد داخل الشركات المستهدفة.
ويرتبط الإعلان الجديد بما سبق أن كشفه الوزير المنسق للأمن الوطني في سنغافورة ك. شانموغام في 18 يوليو 2025، عندما تحدث عن رصد نشاط المجموعة ضد البنية التحتية الحرجة، مع امتناع السلطات آنذاك عن نشر تفاصيل بهدف حماية أمن العمليات.
وفي السياق نفسه، قالت وزيرة التطوير الرقمي والمعلومات والوزيرة المكلفة بالأمن السيبراني ومجموعة الأمة الذكية جوزفين تيو إن غياب التسريب الواسع أو تعطيل الخدمات لا يقلل من خطورة الحملة. وحذرت من أن نجاحاً أعمق كان سيمنح المهاجمين قدرة أكبر على جمع معلومات حساسة للتجسس أو توسيع أدوات التعطيل بما ينعكس على قطاعات حيوية تعتمد على الاتصالات.
وتعرف منصات استخبارات التهديدات، ومنها MITRE ATT&CK، مجموعة UNC3886 تحت المعرف G1048 بوصفها جهة تجسس سيبراني ذات صلة صينية وفق توصيفات عدة، مع تركيز على تقنيات الافتراضية وأجهزة الحافة واستغلال الثغرات واستخدام أدوات برمجية غير مألوفة.
وتشير تحليلات Mandiant التابعة لـ Google إلى أن المجموعة بنت تاريخاً في التمركز داخل طبقات يصعب رصدها مثل بيئات VMware ESXi وvCenter وأجهزة الشبكات، مع اعتماد مستويات متعددة من الاستمرارية لتفادي الإزالة.
