UNC3886 (まとめ)

incidents.hatenablog.com

【辞書】

◆UNC3886 (Wikipedia)
https://en.wikipedia.org/wiki/UNC3886

【概要】

■技術的特徴

• VMware ESXi にバックドア構築
• Junos の Veriexec 機能(非正規プログラムの実行制限)を回避し、バックドアを注入
• シンガポールの重要インフラを攻撃

■攻撃対象

項目	内容
VMware	ESXi, vCenter, Tools
Junos	Veriexec 機能(非正規プログラムの実行制限)を回避
Fortinet	FortiOS, FortiGate
Ivanti Connect Secure

■ターゲットにされた脆弱性

項目	内容
Fortinet FortiOS	CVE-2022-41328
Fortinet FortiGate	CVE-2022-42475
VMware vCenter	CVE-2022-22948
VMware Tools	CVE-2023-20867

■使用されたマルウェア

項目	内容
Reptile	rootkit
Medusa	rootkit
Mopsled	バックドア、Crosswalk マルウェアの進化版
Riflespine	バックドア
Lookover	Sniffer
VIRTUALSHINE	VMware の VMCI ソケットベースのバックドア
VIRTUALPIE	Python バックドア
VIRTUALSPHERE

【最新情報】

◆China-linked APT UNC3886 targets Singapore telcos (SecurityAffairs, 2026/02/10)
[中国関連のAPTグループ「UNC3886」がシンガポールの通信会社を標的に]
https://securityaffairs.com/187792/apt/china-linked-apt-unc3886-targets-singapore-telcos.html
⇒ https://malware-log.hatenablog.com/entry/2026/02/10/000000_10

【ニュース】

■2023年

◇2023年6月

◆Chinese hackers used VMware ESXi zero-day to backdoor VMs (BleepingComputer, 2023/06/13 12:48)
[中国のハッカー、VMware ESXiのゼロデイを利用してVMをバックドア化]
https://www.bleepingcomputer.com/news/security/chinese-hackers-used-vmware-esxi-zero-day-to-backdoor-vms/
⇒ https://malware-log.hatenablog.com/entry/2023/06/13/000000_4

■2024年

◇2024年1月

◆2023年10月修正の「vCenter」脆弱性、2021年後半には悪用か (Security NEXT, 2024/01/23)
https://www.security-next.com/152882
⇒ https://malware-log.hatenablog.com/entry/2024/01/22/000000_2

◇2024年6月

◆Fortinet／VMware の脆弱性を悪用：中国由来の UNC3886 が実現している永続性とは？ (IoT OT Security News, 2024/06/19)
https://iototsecnews.jp/2024/06/19/unc3886-uses-fortinet-vmware-0-days-and-stealth-tactics-in-long-term-spying/
⇒ https://malware-log.hatenablog.com/entry/2024/06/19/000000_1

■2025年

◇2025年3月

◆Juniper製ルーターに「攻殻機動隊さながら」の高度マルウェア攻撃　その手口は (TechTarget, 2025/03/13 07:00)
https://techtarget.itmedia.co.jp/tt/news/2503/13/news10.html
⇒ https://malware-log.hatenablog.com/entry/2025/03/13/000000_3

◆中国系グループ、「Junos OS」を侵害か - 監視手薄な部分を標的 (Security NEXT, 2025/03/14)
https://www.security-next.com/168189
⇒ https://malware-log.hatenablog.com/entry/2025/03/14/000000_5

◇2025年6月

◆北朝鮮のITワーカーが暗躍？ Mandiantの調査から見る、最新の脅威動向 (マイナビニュース, 2025/06/24 06:00)
https://news.mynavi.jp/techplus/article/20250624-3361605/
⇒ https://malware-log.hatenablog.com/entry/2025/06/24/000000_2

◇2025年7月

◆中国系スパイグループ「UNC3886」、シンガポールにサイバー攻撃 (AFPBB News, 2025/07/19 16:59)
https://www.afpbb.com/articles/-/3589526
⇒ https://malware-log.hatenablog.com/entry/2025/07/19/000000

◆中国系APTグループUNC3886がシンガポール重要インフラへサイバー攻撃 (セキュリティ対策Lab, 2025/07/22)
https://rocket-boys.co.jp/security-measures-lab/china-linked-apt-group-unc3886-cyber-attack-on-singapore-critical-infrastructure/
⇒ https://malware-log.hatenablog.com/entry/2025/07/22/000000_2

◆OT-ISAC warns Singapore critical infrastructure of UNC3886 exploiting zero-days in Fortinet, VMware, Juniper systems (Industrial Cyber, 2025/07/24)
[OT-ISACは、シンガポールの重要インフラに対し、UNC3886がFortinet、VMware、Juniperのシステムにおけるゼロデイ脆弱性を悪用していることを警告しています]
https://industrialcyber.co/critical-infrastructure/ot-isac-warns-singapore-critical-infrastructure-of-unc3886-exploiting-zero-days-in-fortinet-vmware-juniper-systems/
⇒ https://malware-log.hatenablog.com/entry/2025/07/24/000000_1

■2026年

◇2026年2月

◆China-linked APT UNC3886 targets Singapore telcos (SecurityAffairs, 2026/02/10)
[中国関連のAPTグループ「UNC3886」がシンガポールの通信会社を標的に]
https://securityaffairs.com/187792/apt/china-linked-apt-unc3886-targets-singapore-telcos.html
⇒ https://malware-log.hatenablog.com/entry/2026/02/10/000000_10

◆Singapore spent 11 months booting China-linked snoops out of telco networks (The Register, 2026/02/10 13:43)
[シンガポールは11か月かけて、中国関連の諜報員を通信ネットワークから排除した]
https://www.theregister.com/2026/02/10/singapore_telco_espionage/
⇒ https://malware-log.hatenablog.com/entry/2026/02/10/000000_15

【ブログ】

■2024年

◇2024年2月

◆最先端の脅威 - Part 3: Ivanti Connect Secure VPN の悪用と永続性の調査 (Mandiant, 2024/02/27)
https://www.mandiant.jp/resources/blog/investigating-ivanti-exploitation-persistence
⇒ https://malware-log.hatenablog.com/entry/2024/02/27/000000_12

【図表】

UNC3886の概要
出典: https://news.mynavi.jp/techplus/article/20250624-3361605/

出典: https://iototsecnews.jp/2024/06/19/unc3886-uses-fortinet-vmware-0-days-and-stealth-tactics-in-long-term-spying/

【検索】

■Google

google: UNC3886
google:news: UNC3886
google: site:virustotal.com UNC3886
google: site:github.com UNC3886

■Bing

https://www.bing.com/search?q=UNC3886
https://www.bing.com/news/search?q=UNC3886

■Twitter

https://twitter.com/search?q=%23UNC3886
https://twitter.com/hashtag/UNC3886

■VirusTotal

https://www.virustotal.com/gui/search/UNC3886

【関連まとめ記事】

◆全体まとめ
　◆攻撃組織 / Actor (まとめ)

◆標的型攻撃組織 / APT (まとめ)
https://malware-log.hatenablog.com/entry/APT