Singapour affirme que l'UNC3886 lié à la Chine a violé tous les quatre grands opérateurs de télécommunications en utilisant un jour zéro et des rootkits furtifs. L'Agence de cybersécurité de Singapour a rapporté que l'UNC3886 avait compromis Singtel, StarHub, M1 et Simba au moins une fois, obtenu un accès limité aux systèmes critiques, et dans un cas, avait utilisé un jour zéro pour contourner les pare-feu périmétriques et voler des données techniques ; lors d'une intrusion distincte, les enquêteurs ont découvert que l'acteur avait utilisé des rootkits pour rester furtif et persister pendant une période non divulguée. Les autorités ont déclaré n'avoir trouvé aucune preuve que des données clients sensibles aient été accessibles ou volées et que les services n'ont pas été interrompus, mais la campagne a été décrite comme délibérée, ciblée et bien planifiée ; les intrusions ont été divulguées en juillet 2025 et ont entraîné « l'Opération Cyber Guardian », un suivi plus large et un confinement rapide pour empêcher le passage à d'autres secteurs critiques tels que la banque, le transport et la santé. D'un point de vue des services de l'équipe rouge, c'est une opération de « accès silencieux » typique : les opérateurs de télécommunications sont un terrain stratégique, et la combinaison d'une exploitation périphérique + d'une persistance furtive est exactement ce que nous imiterons pour aider les clients à valider si leur détection peut attraper des points d'accès à faible bruit, un mouvement latéral qui évite un outillage lourd et des pivots centrés sur l'identité à partir des plans de gestion de réseau—car le résultat le plus dangereux n'est souvent pas une panne, mais une position durable que le défenseur ne voit jamais.