Компания «Лаборатория Касперского» обнаружила кибергруппировку, с 2009 года атакующую производителей онлайн-игр. Результаты действий злоумышленнников были обнаружены компанией в 2011 году, когда компьютеры большого количества игроков известной онлайн-игры были заражены троянским вирусом, попавшим вместе с обновлениями клиента.
По данным экспертов «Касперского», изначально злоумышленники нацелились не на игроков, а на компании, разрабатывающие компьютерные игры. Делали это они с помощью известного трояна с функциональностью бэкдора под названием Winnti, создателями которого является «группа Winnti». В «лаборатории» говорят о трех схемах его монетизации: нечестное накопление игровой валюты с конверсией виртуальных денег в реальные, кража исходных кодов для поиска уязвимостей и кража исходников серверной части игр для развертывания на серверах с пиратским контентом.
Эксперты также указали на фирменный почерк группы: похищение легальных сертификатов и использование их во внеигровом пространстве. Во время атаки соцсетей Cyworld и Nate применялся троян с подписью японской компании YNK Japan Inc., а ее сертификат использовался при кибератаках тибетских и уйгурских активистов. В «Лаборатории» не стали называть провайдеров онлайн-игр, пострадавших от Winnti. Однако эксперты «Лаборатории» отметили, что за весь период существования данной группировки ею было атаковано 35 компаний.
Несмотря на то, что группировка начала свою работу в 2009 году, эксперты замечают, что домены, на которых расположены управляющие сервера, были зарегистрированы еще в 2007 году. Среди пострадавших компаний одна расположена на территории Белоруссии (где зарегистрирован разработчик игры World of Tanks), а также активность группировки отмечена в РФ, Китае, США, Германии и Японии.
