أعلنت وكالة الأمن السيبراني في سنغافورة (CSA) أن مجموعة التجسس السيبراني المرتبطة بالصين والمعروفة باسم UNC3886 شنت حملة متعمدة ومنسقة ضد قطاع الاتصالات في البلاد. وأكدت الوكالة أن جميع شركات الاتصالات الأربع الكبرى في سنغافورة – M1، SIMBA Telecom، Singtel، وStarHub – تعرضت لهجمات مباشرة.
ويأتي هذا التطور بعد أكثر من ستة أشهر من تصريحات وزير الأمن الوطني المنسق في سنغافورة، ك. شانموجام، الذي اتهم المجموعة باستهداف أصول استراتيجية عالية القيمة. وتشير التقديرات إلى أن المجموعة تنشط منذ عام 2022، مع تركيزها على الأجهزة الطرفية وتقنيات الافتراضية للحصول على وصول أولي.
أدوات متقدمة وتقنيات اختراق
وصفت الوكالة المجموعة بأنها تهديد متقدم (APT) يتمتع بقدرات عميقة، حيث استخدم المهاجمون أدوات متطورة لاختراق أنظمة الاتصالات. في إحدى الحالات، استغلوا ثغرة Zero-Day لتجاوز جدار ناري محيطي وسحب كمية محدودة من البيانات التقنية لدعم أهدافهم التشغيلية.
وفي حالة أخرى، نشروا Rootkits لتثبيت وصول دائم وإخفاء آثارهم، كما تمكنوا من الوصول غير المصرح به إلى أجزاء من شبكات وأنظمة الاتصالات، بما في ذلك مكونات حساسة، لكن دون أن يصل الأمر إلى تعطيل الخدمات أو قطع الاتصال.
عملية دفاعية طويلة المدى
أطلقت وكالة الأمن السيبراني عملية استمرت 11 شهراً تحت اسم CYBER GUARDIAN لمواجهة التهديد والحد من حركة المهاجمين داخل الشبكات. وأكدت الوكالة أنه لا يوجد دليل على تسريب بيانات شخصية مثل سجلات العملاء أو تعطيل خدمات الإنترنت.
وأوضحت أن المدافعين السيبرانيين أغلقوا نقاط وصول المجموعة، ووسعوا قدرات المراقبة داخل شركات الاتصالات المستهدفة، مما عزز من قدرة القطاع على مواجهة الهجمات المستقبلية.
امتداد الحملة إلى أوروبا
تزامنت هذه الهجمات مع اكتشاف نشاط منسق يستهدف مؤسسات حكومية أوروبية عبر استغلال ثغرات CVE-2026-1281 وCVE-2026-1340 في أنظمة EPMM. حيث قام المهاجمون بزرع حمولة خاملة على شكل Java Class Loader داخل مسار غير شائع (/mifs/403.jsp) يمكن تفعيله فقط عبر معلمة محددة.
هذا الأسلوب يوحي باستخدام تكتيكات Initial Access Broker (IAB)، حيث يتم الحصول على موطئ قدم أولي ثم بيعه أو تسليمه لجهات أخرى لاحقاً، مما يعكس تطوراً خطيراً في أساليب التجسس السيبراني العابرة للحدود.
