A Kaspersky Lab szakemberei másfél év óta figyelik a Winnti csoport tevékenységét; elsőként egy rosszindulatú trójai vírust azonosítottak a szakemberek, akik egyértelmű összefüggést találtak a fertőzött számítógépek és az online játékok között. A vírust a kiberkémkedéssel foglalkozó Winnti csoport követte el, és maga az online számítógépes játékokat fejlesztő vállalat volt a célpont.
A trójai programról kiderült: egy 64 bites, Windows-ra fordított DLL (dinamikus csatolású könyvtár) volt, amelyet a kiberbűnözők érvényes digitális aláírással láttak el. A Kaspersky Lab szakértőinek nyilatkozata szerint ez volt az első 64 bites Microsoft Windows 7-re írt érvényes digitális aláírással ellátott trójai program.
A kiberkémkedés mellett a Winnti csoportnak több illegális online manipuláció és bűntett is a számlájukra írható:
- Manipulálták az online játékokban használt virtuális pénzeket, amelyekből a felhalmozás közben valódi pénzt generáltak.
- Növelték a játékokon belüli sebezhetőségeket az ellopott forráskódok felhasználásával; segítségükkel észrevétlenül felgyorsították és manipulálták a virtuális pénzek növekedését.
- Felhasználták az ellopott online játékok forráskódjait, amelyeket később telepítettek a saját kalóz szervereiken.
A Kaspersky Lab szakemberei folyamatosan vizsgálják a jelenleg is aktív Winnti csoport tevékenységeit, és folyamatosan azon dolgoznak, hogy visszavonják a lopott digitális tanúsítványokat, továbbá segítsék az online játékfejlesztő vállalatokat a kiberkémkedési csoportokkal szemben.