文章总结： 新加坡网络安全局于2026年2月9日首次公开披露代号为网络卫士行动的国家级网络防御行动，历时11个月动员超百名专家，成功抵御APT组织UNC3886针对四大电信运营商的系统性攻击。该组织利用零日漏洞和rootkit等高级技术渗透关键基础设施，具备破坏电信服务能力。行动成功阻止了敏感数据泄露和服务中断，但攻击者曾有限访问关键系统。此次高调公开旨在展示防御能力、威慑幕后国家支持者，并强化公私合营的网络安全体系，标志着关键基础设施已成为国家间战略博弈的新战场。 综合评分： 85 文章分类： 威胁情报,应急响应,网络安全,安全运营,安全建设

新加坡罕见公开国家级网络防御行动

原创

网空闲话 网空闲话

网空闲话plus

2026年2月10日 08:57 北京

2026年2月9日，新加坡网络安全局与资讯通信媒体发展局联合发布了一份非同寻常的新闻稿，首次全面披露了一项代号为“网络卫士行动”的大规模、多机构协同网络防御行动。此次行动历时超过十一个月，动员了超过百名国家级网络防御专家，其核心目标是抵御一个名为UNC3886的高级持续性威胁组织针对新加坡全部四家主要电信运营商发起的系统性、高隐秘性网络攻击。新加坡政府高层罕见地公开点名并详细阐述对抗某一特定APT组织的行动细节，其指向性明确，言辞审慎但信息量巨大。结合公开材料分析，新加坡方面通过此举，不仅旨在展示其网络防御决心与能力，更是在向外界，尤其是向被其认定为该组织背后关联的国家，传递明确的威慑与警告信号。

一、 事件背景：关键基础设施遭遇隐秘“强敌”

事件的公开追溯至2025年7月18日，当时新加坡国家安全统筹部长尚穆根透露，有名为UNC3886的APT组织正在攻击新加坡的关键基础设施，但为保障行动安全，未披露详情。经过数月深入调查，新加坡当局确认，UNC3886发起了一场针对其电信业“深思熟虑、目标明确且计划周密”的战役。新加坡所有四家主要电信运营商——M1、SIMBA Telecom、Singtel和StarHub——均成为攻击目标。

电信网络是现代社会的神经中枢，承载着海量敏感信息与经济活动，其安全直接关系到国家安全、经济稳定与社会运转。新加坡政府将此次攻击定性为“潜在更严重的威胁”，远超以往遭遇的网络事件。数字发展与信息部长兼网络安全主管部长杨莉明明确指出，攻击瞄准的是直接负责提供基本公共服务的系统，若攻击得逞，攻击者未来或能切断电信或互联网服务，进而对金融、交通、医疗等服务造成连锁破坏。这种对国家命脉的直接威胁，迫使新加坡必须启动最高级别的响应。

二、 对手剖析：高度复杂且疑似具国家背景的UNC3886

根据新加坡官方及国际网络安全界的描述，UNC3886是一个具备“深厚能力”的APT组织。APT通常指那些资源充足、技术先进、行动隐秘且长期专注于特定目标的高级黑客组织，往往被怀疑有国家背景支持。

攻击手法高超：UNC3886在攻击中使用了尖端工具和技术。例如，利用“零日漏洞”突破电信运营商的边界防火墙。零日漏洞是软件中未知且无补丁的致命弱点，利用它如同“找到了一把无人知晓的新钥匙来打开我们电信公司信息系统和网络的大门”。此外，该组织还使用了“rootkit”等高级恶意软件来维持持久访问、隐藏行踪并规避检测，大大增加了防御方发现和清除的难度。

行动目标明确：其行动显示出强烈的战略意图。在成功入侵后，UNC3886窃取了少量技术数据（主要是网络相关数据），旨在推进其操作目标。更重要的是，评估认为该组织具备破坏电信和互联网服务的能力，这表明其行动目标不仅限于传统的网络间谍活动，更可能包含为未来可能进行的破坏性行动做准备。

关联背景指向：材料明确指出，UNC3886被归类为“与某大国相关的网络间谍组织”。尽管其“UNC”（未分类）标签意味着完全归因尚存模糊空间，但这一公开定性本身，结合攻击的规模、复杂性和战略性目标，已然将矛头指向了地缘政治维度。历史上，针对关键基础设施的APT攻击常被视为国家间网络博弈的一部分。新加坡选择公开点名并详细描述一个“大国相关”组织对其核心部门的渗透，其外交与安全意涵不言而喻。

三、 “网络卫士行动”：举国协同的防御实战

面对UNC3886的严峻挑战，新加坡启动了其迄今为止规模最大的协同网络事件响应行动——“网络卫士行动”。

快速响应与全政府协同：攻击活动最初由电信公司自身检测发现，随后立即通知IMDA和CSA。政府反应迅速，联合电信公司启动包含CSA、IMDA、战略资讯科技中心、数字与情报服务、政府科技局以及内部安全局在内的六个关键机构的“全政府”协同响应机制。这种跨越民用、军事和情报部门的深度协作，体现了新加坡将网络安全视为国家整体防御的核心组成部分。

长达十一个月的持久对抗：行动非短期清剿，而是持续超过十一个月的持久战，反映出UNC3886的顽固性与隐蔽性，以及清除其影响的艰巨性。超过100名网络防御人员投入其中，与电信运营商紧密合作，限制攻击者在网络内的横向移动，确保系统安全可用。

防御成果与局限：根据官方评估，行动成功遏制了威胁的扩散：

未造成严重破坏：攻击未导致如其他地区网络攻击那样严重的损害。

未泄露敏感数据：截至目前，无证据表明客户记录等敏感或个人数据被访问或外泄。

未中断核心服务：无证据显示电信服务（如互联网可用性）遭到破坏。

成功清除与加固：防御方已实施补救措施，关闭了UNC3886的接入点，并增强了目标电信公司的监控能力。

然而，官方也坦承，攻击者曾成功非法访问电信网络和系统的某些部分，甚至在某一实例中“有限访问了关键系统”，虽未深入至能扰乱服务的程度，但已触及其核心，凸显了防御的惊险与脆弱性。

四、 战略意涵与未来指向

新加坡此次高调公开“网络卫士行动”，绝非简单的案例通报，而是一次经过精心计算的国家安全与战略沟通行为。

彰显“公私合营”网络防御学说：杨莉明部长强调，此次公私部门的紧密合作反映了新加坡的国家网络防御理念。该理念强调政府机构与私营部门（尤其是关键基础设施所有者）必须作为团队共同行动，以有效对抗复杂对手。这既是对内统一思想、强化责任的动员，也是对外展示其社会整体韧性的窗口。

明确威慑与划设红线：公开点名一个“大国相关”的APT组织，并详尽披露其攻击本国最关键基础设施的细节与本国强有力的反击，新加坡旨在向潜在的幕后支持者传递清晰信号：

其一，新加坡具备发现、追踪、对抗国家级网络攻击的能力与决心；

其二，针对其关键基础设施的网络行动已被视为对国家安全的直接挑战，不可容忍；

其三，新加坡不会默默承受，而是会选择在适当时机公开揭露，施加外交与声誉成本。

为持续对抗与能力提升奠基：新加坡政府清醒认识到威胁远未结束。杨莉明部长警告，未来可能会有新的入侵企图。因此，行动公开也是为后续强化措施铺路。CSA和IMDA正与电信公司合作，加强网络防御、增强检测能力、部署主动监控系统。措施包括联合威胁狩猎、渗透测试和能力升级。政府也将逐步推出举措，提升整个网络生态系统的能力水平。这预示着一场围绕关键基础设施网络安全的长期竞赛已经开始。

结论

新加坡“网络卫士行动”的公开，是国际网络安全领域一个具有标志性意义的事件。它罕见地将一场针对关键基础设施、涉及疑似国家背景APT组织的国家级网络攻防对抗的细节置于聚光灯下。此举不仅展示了新加坡在面对高端网络威胁时高度协同、专业有效的防御体系，更通过将攻击者明确关联至地缘政治对手，将其提升至国家间战略博弈的层面。这既是对内部各界的警醒与动员，也是对特定外部行为体的严厉警告。在数字时代，关键基础设施已成为没有硝烟的新战场，而新加坡正以其行动表明，它将不惜动用全政府、全社会之力，捍卫这条不容有失的防线。这场公开的“网络卫士行动”，或许只是更宏大、更隐秘的国际网络空间博弈中的一个片段，但其透露的信号与模式，值得所有国家深思。

参考资源

1、https://www.csa.gov.sg/news-events/press-releases/largest-multi-agency-cyber-operation-mounted-to-counter-threat-posed-by-advanced-persistent-threat–apt–actor-unc3886-to-singapore-s-telecommunications-sector/

2、https://thecyberexpress.com/singapore-unc3886-telecom-cyberattack/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《新加坡罕见公开国家级网络防御行动》