新加坡網路安全局(Cyber Security Agency,CSA)揭露,
中國駭客組織 UNC3886 針對該國電信業發動大規模網路間諜行動。新加坡電信(Singtel)、星和電信(StarHub)、M1 與 Simba 電信等四家主要業者全數遭到攻擊。與此同時,資安業者 Palo Alto Networks Unit 42 揭露另一個
亞洲國家級駭客組織 TGR-STA-1030,在過去一年內成功入侵 37 個國家的至少 70 個政府與關鍵基礎設施組織。
新加坡電信業遭中國駭客組織UNC3886鎖定
CSA 表示,
UNC3886 對新加坡電信業發動一場具針對性強且計畫周詳的攻擊行動。這個進階持續性威脅(APT)組織展現出高超的攻擊能力,部署多種精密工具入侵電信系統。
其中一起攻擊案例中,
駭客利用零日漏洞繞過電信業者的邊界防火牆,竊取少量技術資料以推進其作業目標。CSA 並未透露該漏洞的具體細節。而在另一起案例中,UNC3886
部署 rootkit 建立持久性存取權限,並隱藏攻擊痕跡以躲避偵測。
調查顯示,駭客未經授權進入電信網路與系統的部分區域,包括關鍵系統,但攻擊嚴重程度尚未達到中斷服務的程度。CSA 強調,目前沒有證據顯示駭客竊取客戶個資等敏感資料或導致網路服務中斷。
新加坡當局立即啟動代號為「CYBER GUARDIAN」的反制行動,限制攻擊者在電信網路中的橫向移動。超過 100 名來自 6 個政府機構的調查人員參與行動。資安防護人員實施補救措施,關閉 UNC3886 的進入點,並擴大對受攻擊電信業者的監控能力,成功阻止駭客進一步滲透銀行、運輸和醫療等其他關鍵基礎設施領域。
UNC3886威脅背景
Mandiant 研究人員自 2023 年起追蹤 UNC3886,該組織鎖定政府、電信和技術公司,利用 FortiGate 防火牆(CVE-2022-41328)、VMware ESXi(CVE-2023-20867)和 VMware vCenter Server 端點(CVE-2023-34048)的零日漏洞進行攻擊。資安業者 Sygnia 於 2025 年 7 月披露一項長期網路間諜行動的細節,將其歸因於威脅組織
Fire Ant。Fire Ant 與 UNC3886 在工具和攻擊目標上有重疊之處。
延伸閱讀:已有兩年!中國駭客低調武器化 VMware 零日漏洞
這波攻擊與近期其他針對電信業的重大入侵事件相呼應。2024年底,中國駭客組織Salt Typhoon入侵多家美國寬頻業者,存取這些公司合法網路監聽系統的資訊。2025年中,加拿大政府也披露同一威脅組織利用Cisco IOS XE漏洞入侵電信公司。
亞洲駭客組織攻擊全球政府與關鍵基礎設施
Palo Alto Networks Unit 42 揭露一個先前未被記錄的亞洲網路間諜組織
TGR-STA-1030。該組織在過去一年內成功入侵 37 個國家的至少 70 個政府與關鍵基礎設施組織。在 2025 年 11 月至 12 月期間,這個駭客組織對 155 個國家的政府基礎設施進行主動偵察。
其成功入侵包括 5 個國家級執法或邊境管制機構、3 個財政部及其他政府部門,涵蓋經濟、貿易、自然資源和外交功能。Unit 42 國家安全計畫主管 Pete Renals 表示,駭客成功存取受害者的電子郵件伺服器,竊取敏感資料,包括財務談判與合約、銀行帳戶資訊,以及軍事相關的重要作業更新。
雖然這個駭客組織的確切來源國家尚不清楚,但研究人員評估其來自亞洲。依據包括:使用區域性工具和服務、語言設定偏好、與該地區情報利益一致的攻擊目標,以及 GMT+8 的作業時間。證據顯示,TGR-STA-1030 自 2024 年 1 月起便開始活動。
TGR-STA-1030攻擊手法與技術分析
TGR-STA-1030 的攻擊始於釣魚郵件,誘騙收件者點擊指向紐西蘭檔案託管服務 MEGA 的連結。該連結託管一個 ZIP 壓縮檔,內含名為 Diaoyu Loader 的執行檔和一個名為「pic1.png」的零位元組檔案。
Unit 42 指出,這個惡意軟體採用雙階段執行防護機制來阻礙自動化沙箱分析。除了要求水平螢幕解析度大於或等於 1440 的硬體需求外,惡意軟體還會檢查執行目錄中是否存在特定檔案(pic1.png)。這個 PNG 圖檔用於檔案完整性檢查,若不存在於相同位置,惡意程式會在釋放惡意行為前終止執行。
滿足條件後,惡意軟體會檢查系統是否安裝來自 Avira、Bitdefender、Kaspersky、Sentinel One 和 Symantec 的特定資安產品。載入程式的最終目標是從名為「WordPress」的 GitHub 儲存庫下載三張圖片,藉此部署 Cobalt Strike 酬載。
該組織也嘗試利用各種 N-day 漏洞來獲得目標網路的初始存取權限。這些漏洞影響 Microsoft、SAP、Atlassian、銳捷網路、Commvault 和億郵電子郵件系統等眾多軟體產品。目前尚無證據顯示該組織開發或利用零日漏洞。
TGR-STA-1030 使用的工具包括
多種命令與控制(C2)框架,如 Cobalt Strike、VShell、Havoc、Sliver 和 SparkRAT;
網頁後門(web shell),如 Behinder、neo-reGeorg 和 Godzilla;以及
隧道工具,如 GO Simple Tunnel(GOST)、Fast Reverse Proxy Server(FRPS)和 IOX。值得注意的是,這些網頁後門經常與中國駭客組織相關。
另一個值得關注的工具是代號為
ShadowGuard 的 Linux 核心 rootkit。它利用擴展伯克利封包過濾器(eBPF)技術隱藏處理程序資訊細節,攔截關鍵系統呼叫以對使用者空間分析工具隱藏特定處理程序,並隱藏名為「swsecret」的目錄和檔案。
防護建議
面對國家級駭客組織的威脅,Unit 42 和 CSA 建議組織採取以下防護措施:
- 定期修補已知漏洞,優先處理面向網際網路的系統和設備
- 部署多層次防禦機制,包括端點偵測與回應(EDR)解決方案
- 加強關鍵基礎設施監控能力,建立異常行為偵測機制
- 實施零信任架構,限制橫向移動可能性
- 定期進行安全稽核和滲透測試,識別潛在弱點
- 建立事件回應計畫,確保快速應對安全事件
- 加強員工資安意識培訓,提高對釣魚攻擊的警覺性
Unit 42 總結指出,TGR-STA-1030 對全球政府和關鍵基礎設施構成持續威脅。該組織以間諜活動為目的,鎖定政府部會,並優先針對已建立或正在探索特定經濟夥伴關係的國家。儘管該組織追求間諜目標,但其攻擊手法、目標選擇和行動規模令人擔憂,對國家安全和關鍵服務具有潛在的長期影響。
本文轉載自 TheHackerNews、BleepingComputer。