2013年，卡巴斯基實驗室的安全專家披露一個針對游戲行業的網絡間諜活動，并且惡意程序還是用有效的數字證書簽名的。間諜活動的幕后威脅者叫做 Winnti group，其目標是竊取游戲社區的虛擬貨幣和源代碼。

??

攻擊范圍

據卡巴斯基發現，Winnti group從2009年一直活躍至今，全球有超過30家游戲公司和在線游戲平臺都遭到該組織的攻擊。

據稱Winnti group是一個基于中國的間諜組織，其大部分攻擊目標位于東南亞、德國、美國、日本、中國、俄羅斯、巴西、秘魯、白俄羅斯。2015年6月，卡巴斯基還搜集到一些證據，表明Winnti group的攻擊范圍已經從單純的游戲行業擴大到了電信、制藥公司。

進一步的分析發現，Winnti group其實是被當成攻擊平臺來感染目標組織的系統。該APT組織使用的攻擊工具叫做“HDRoot”，是2006年開發出來的。至于Winnti group為什么會使用HDRoot工具?可能是2009年Winnti group成立時，HDRoot的作者加入了Winnti group，也可能是Winnti group在地下市場上買到了該工具。

HDRoot被黑客用來在目標系統上投放惡意后門，進而可以持續性的進行間諜活動。安全研究員還發現HDRoot工具受 VMProtect保護，而且在該攻擊案例中，攻擊者首先入侵了一個數字簽名公司——中國廣州元珞(音譯)科技公司，然后用它們的數字簽名來掩蓋HDRoot工具。

安全專家們發現了兩個HDRoot傳送的后門樣本，其中一個主要針對的是韓國公司;與此同時，卡巴斯基還在美國和俄羅斯分別發現了這兩個版本的后門。