UNC3886, un groupe de hackers chinois, attaque depuis début juillet 2025 les infrastructures vitales de Singapour. Énergie, eau, télécoms et administrations subissent des intrusions simultanées via des failles zero-day.
UNC3886 a décidé de s’attaquer à Singapour. Ce groupe de hackers chinois, actif depuis 2021, cible maintenant tous les secteurs critiques du pays. Ils utilisent des vulnérabilités inconnues pour infiltrer VMware vCenter, Fortinet FortiOS et Juniper Junos OS.
Le ministre singapourien de la coordination et de la sécurité nationale, K. Shanmugam, a parlé d’un « risque grave » le 18 juillet 2025 dernier. L’Agence de cybersécurité locale enquête en secret. Les hackers veulent compromettre l’ensemble des infrastructures critiques. UNC3886 opère déjà aux États-Unis, en Europe et en Asie. Singapour devient leur nouvelle priorité.
Les hackers frappent tous les secteurs vitaux en même temps
UNC3886 attaque l’énergie, l’eau, les télécoms et le gouvernement simultanément. Pas question pour eux de cibler un secteur puis un autre. Ils veulent tout faire en parallèle.
Pourquoi cette méthode ? Les infrastructures communiquent entre elles. Le réseau électrique échange des données avec la distribution d’eau. Les télécoms relient tout le monde, y compris les administrations. Si un secteur tombe, les hackers peuvent rebondir sur les autres.
Trend Micro confirme que cette stratégie leur permet de cartographier toutes les interconnexions. Les autorités craignent des « perturbations généralisées ». UNC3886 connaît bien cette approche car ils l’utilisent ailleurs dans le monde depuis des années.
Le groupe cible des secteurs de haute valeur : défense, technologie, télécommunications et services publics. Leur présence à Singapour confirme l’importance stratégique de ce hub asiatique.
Des outils sur mesure garantissent un accès furtif durable
UNC3886 déploie trois programmes principaux pour rester invisible. TinyShell utilise Python et le chiffrement HTTPS pour exécuter des commandes à distance. Reptile masque tous leurs fichiers et processus au niveau du noyau Linux. Medusa collecte les mots de passe tout en échappant aux outils de débogage.
Ces trois outils fonctionnent ensemble. Reptile assure la discrétion totale. Medusa récupère les accès supplémentaires. TinyShell maintient le contrôle permanent. Les hackers ajoutent aussi MopSled, RifleSpine et CastleTap selon leurs besoins.
CVE-2023-34048 leur donne un accès complet aux serveurs VMware vCenter sans authentification. CVE-2022-41328 permet de télécharger des portes dérobées sur les équipements FortiGate. CVE-2025-21590 ouvre les routeurs Juniper via l’injection de code dans le noyau.
UNC3886 installe ensuite Pithook et Ghosttown sur ces équipements négligés. Ces rootkits désactivent la journalisation pour effacer toute trace de leur passage. Ils couvrent toutes les tactiques MITRE ATT&CK, de l’intrusion initiale jusqu’au contournement des défenses.
Les autorités singapouriennes refusent de communiquer sur l’étendue des compromissions. UNC3886 garde plusieurs voies d’accès ouvertes même si certaines sont découvertes. Cette redondance leur garantit une présence durable dans les systèmes compromis.
Source: Clubic
