중국과 연계된 것으로 평가되는 사이버 스파이 조직 UNC3886이 싱가포르 주요 통신사를 정교하게 노린 공격을 진행한 사실이 드러났다.

 

싱가포르 사이버 보안청(Cyber Security Agency of Singapore·CSA)은 2월 9일(현지 시간), 중국과 연계된 사이버 스파이 단체로 알려진 UNC3886이 싱가포르 통신 부문을 표적으로 삼았다고 밝혔다. IT 매체 더 해커 뉴스(The Hacker News)에 따르면 CSA는 UNC3886이 싱가포르 통신 부문을 상대로 “의도적이고, 표적화됐으며, 잘 계획된 캠페인”을 전개했다고 밝혔다.

 

CSA는 싱가포르의 4개 주요 통신사업자 M1, 심바 텔레콤(SIMBA Telecom), 싱텔(Singtel), 스타허브(StarHub)가 모두 이번 공격의 표적이 됐다고 설명했다. 이번 발표는 싱가포르 국가안보 조정장관 K. 샨무감(K. Shanmugam)이 UNC3886이 고가치 전략적 위협 대상들을 공격했다고 비판한 지 6개월이 넘은 시점에 나왔다.

 

 

더 해커 뉴스에 따르면 UNC3886은 최소 2022년부터 활동해 온 것으로 평가되며, 초기 침입을 위해 엣지 디바이스와 가상화 기술을 노려왔다. CSA는 이 그룹을 “깊은 역량”을 가진 지능형 지속 위협(Advanced Persistent Threat·APT)으로 규정했다.

 

2025년 7월에는 시그니아(Sygnia)가 파이어 앤트(Fire Ant)라는 위협 클러스터에 대한 장기 사이버 스파이 캠페인 세부 내용을 공개했다. 이 파이어 앤트는 UNC3886과 도구 및 공격 대상 면에서 공통점이 있는 것으로 전해졌으며, 시그니아는 이 적대 세력이 조직의 VM웨어 ESXi 및 v센터(vCenter) 환경과 각종 네트워크 장비에 침투한다고 밝혔다.

 

CSA에 따르면 UNC3886은 통신사 시스템에 접근하기 위해 고도화된 도구를 사용했으며, 한 사례에서는 제로데이 취약점을 무기화해 경계용 방화벽을 우회하고 소량의 기술 데이터를 빼내 작전 목표를 진전시켰다. CSA는 해당 취약점의 구체적인 세부 내용은 공개하지 않았다.

 

또 다른 사례에서 UNC3886은 루트킷을 배포해 지속적인 접근 권한을 확보하고 흔적을 은폐해 탐지를 피한 것으로 전해졌다. 이 위협 조직은 일부 통신사 네트워크와 시스템, 그중에는 중요 시스템의 일부에도 무단 접근을 시도했으나, 이번 사건이 실제 서비스 중단을 초래할 정도로 심각한 수준은 아니었던 것으로 평가됐다.

 

CSA는 CYBER GUARDIAN이라는 이름의 11개월간 사이버 작전을 전개해 이 위협을 상쇄하고, 공격자가 통신 네트워크 안에서 움직일 수 있는 범위를 제한했다고 설명했다. CSA는 또한 현재까지 고객 기록 등 개인정보 유출이나 인터넷 서비스 중단이 있었다는 증거는 없다고 강조했다.

 

CSA는 “사이버 방어자들은 이미 복구 조치를 시행하고, UNC3886의 접근 지점을 차단했으며, 대상 통신사들의 모니터링 역량을 확대했다”고 밝혔다.

 

한편 더 해커 뉴스에 따르면, 유럽 정부 기관들을 겨냥한 이번 캠페인은 EPMM 인스턴스를 표적으로 삼아 CVE-2026-1281과 CVE-2026-1340 취약점을 악용한 뒤, 향후 공격을 위한 통로를 만드는 방식으로 휴면 상태의 페이로드를 업로드하는 조율된 활동의 발견 시점과 맞물려 있다. 이 로더의 주된 기능은 HTTP를 통해 전달되는 두 번째 자바(Java) 클래스를 수신하고 적재해 실행하는 것이다.

 

더 해커 뉴스는 이번 캠페인에서 공격자들이 /mifs/403.jsp 경로에 휴면 상태의 인메모리 자바 클래스 로더를 배포했다고 전했다. 매체에 따르면 이 경로는 비교적 덜 일반적인 웹셸 경로이며, 이 임플란트는 특정 트리거 파라미터가 있을 때만 활성화되고, 아직 후속 악용 활동은 관찰되지 않은 상태다.

 

더 해커 뉴스는 이러한 정황이 “선제적으로 거점을 확보한 뒤, 이후 다른 공격자에게 접근 권한을 판매하거나 넘길 수 있는 초기 접근 브로커(Initial Access Broker·IAB) 활동”을 시사한다고 분석했다.

 

헬로티 |