La agencia de ciberseguridad de Singapur confirmó que un grupo vinculado a China, identificado como UNC3886, ejecutó durante 2025 una serie de intrusiones dirigidas contra los principales operadores de telecomunicaciones, logrando acceder a sus sistemas críticos, pero sin afectar servicios ni datos personales.
Las autoridades de Singapur han entregado la primera descripción detallada de una compleja campaña de ciberespionaje contra las cuatro principales compañías de telecomunicaciones del país -Singtel, StarHub, M1 y Simba Telecom- perpetrada por el grupo conocido como UNC3886.
Según informó el gobierno, las intrusiones se detectaron inicialmente en 2025 y estuvieron dirigidas de forma deliberada y planificada contra la infraestructura de telecomunicaciones de la ciudad-estado. Aunque los atacantes lograron penetrar partes de los sistemas internos de las empresas y extraer cierta información técnica de redes, no se encontró evidencia de que servicios como telefonía o internet hayan sido interrumpidos ni de que datos sensibles de clientes hayan sido exfiltrados.
La ministra de Desarrollo Digital e Información y responsable de Ciberseguridad, Josephine Teo, señaló que los ataques, si bien no causaron daños comparables a otras brechas globales, no deben ser subestimados. En un evento oficial destacó que “la campaña podría haber desplegado herramientas para interrumpir servicios que dependen de las telecomunicaciones e internet, afectando sectores esenciales como banca, transporte y salud, si no se hubiese contenido a tiempo”.
El grupo UNC3886 es una entidad de amenazas persistentes avanzadas (APT) relacionada con operaciones de ciberespionaje a gran escala. Analistas de la firma de seguridad Mandiant han seguido a este actor desde al menos 2022, observando su enfoque en sectores como telecomunicaciones, tecnología y defensa en distintas regiones del mundo.
Una característica notoria de este ataque fue el uso de vulnerabilidades de día cero para evadir defensas y obtener acceso inicial a las redes de los operadores. Estas fallas permitieron burlar firewalls perimetrales y acceder a sistemas internos sin ser detectados rápidamente.
En respuesta al incidente, Singapur activó Operación Cyber Guardian, una acción coordinada que involucró a más de 100 expertos en ciberseguridad de al menos seis agencias gubernamentales y de las propias telcos. Entre las entidades participantes se encuentran la Cyber Security Agency (CSA), la Infocomm Media Development Authority (IMDA), la Digital and Intelligence Service del SAF, así como otras unidades de seguridad tecnológica del Estado.
Esta operación fue descrita por el gobierno como la mayor respuesta de ciberdefensa conjunta emprendida hasta la fecha en Singapur. Los equipos trabajaron para cerrar los accesos utilizados por los atacantes, implementar medidas de remediación, reforzar la supervisión de redes y compartir inteligencia de amenazas con el sector privado para prevenir nuevas intrusiones.