ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก เผยรายงานการวิเคราะห์แผนการร้ายของกลุ่มจารกรรมไซเบอร์ที่ชื่อ Winnti พบว่า กลุ่ม Winnti ซุ่มโจมตีอุตสาหกรรมเกมออนไลน์มาตั้งแต่ปี 2009 โดยพุ่งเป้าขโมยทรัพย์สินทางปัญญาจากใบรับรองดิจิตอล (digital certificate) และซอร์สโค้ด (source code) ของผู้ขายซอฟต์แวร์
ทั้งนี้ เหตุการณ์ที่ทำให้กลุ่ม Winnti เป็นที่สนใจ เริ่มขึ้นเมื่อปี 2011 เมื่อมีการตรวจพบโทรจันในเครื่องคอมพิวเตอร์จำนวนมากทั่วโลก ซึ่งระบาดในกลุ่มผู้เล่นเกมออนไลน์ชื่อดังเกมหนึ่ง ในตอนนั้นเชื่อกันว่าบริษัทเกมเป็นผู้ติดตั้งมัลแวร์เพื่อสอดส่องลูกค้า แต่แท้จริงแล้วมัลแวร์มุ่งเป้าที่บริษัทเกม แต่ถูกติดตั้งที่เครื่องผู้เล่นเกมโดยบังเอิญผ่านการอัพเดทโปรแกรมผ่านเซิร์ฟเวอร์ตามปกติ
ในตอนนั้นเอง บริษัทเกมจึงได้ขอให้แคสเปอร์สกี้ แลป วิเคราะห์โปรแกรมตัวนี้ จึงพบว่า เป็นโทรจันแบบไลบรารี่ DLL สำหรับวินโดว์ 64 บิท ทำงานเสมือน Remote Administration Tool หรือ RAT ซึ่งทำให้สามารถควบคุมคอมพิวเตอร์ได้โดยที่ผู้ใช้งานไม่รู้ตัว นับเป็นครั้งแรกที่มีการค้นพบโปรแกรมมุ่งร้ายสำหรับไมโครซอฟท์วินโดว์ 7 แบบ 64 บิทที่มีดิจิตอลซิกเนเจอร์
จากนั้นผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ก็ได้ศึกษาการทำงานของกลุ่ม Winnti อย่างต่อเนื่อง และพบว่าบริษัทเกมออนไลน์ถูกโจมตีกว่า 30 แห่ง พบมากในภูมิภาคเอเชียตะวันออกเฉียงใต้นี่เอง และในหลายๆประเทศ เช่น สหรัฐอเมริกา ญี่ปุ่น จีน รัสเซีย บราซิล เปรู และเบลารุส
นอกจากนี้ยังพบแผนการโจมตีของกลุ่ม Winnti รวม 3 รูปแบบดังนี้
- จัดแต่งจำนวนเงินสะสมพวกเหรียญหรือทองคำในเกมออนไลน์ และแปลงเป็นเงินจริง
- ขโมยซอร์สโค้ดจากเซิร์ฟเวอร์เพื่อหาช่องโหว่ในเกมและแปลงเงินในเกมเป็นเงินจริง
- ขโมยซอร์สโค้ดเพื่อปรับแต่งให้เล่นเกมจากเซิร์ฟเวอร์หลอกที่ตั้งขึ้นเอง
ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ได้ตรวจจับโปรแกรมมุ่งร้ายของกลุ่ม Winnti ได้ คือ Backdoor.Win32.Winnti, Backdoor.Win64.Winnti, Rootkit.Win32.Winnti และ Rootkit.Win64.Winnti