2013年，卡巴斯基實驗室的安全專家披露一個針對游戲行業(yè)的網(wǎng)絡(luò)間諜活動，并且惡意程序還是用有效的數(shù)字證書簽名的。間諜活動的幕后威脅者叫做 Winnti group，其目標是竊取游戲社區(qū)的虛擬貨幣和源代碼。

　　攻擊范圍

據(jù)卡巴斯基發(fā)現(xiàn)，Winnti group從2009年一直活躍至今，全球有超過30家游戲公司和在線游戲平臺都遭到該組織的攻擊。

據(jù)稱Winnti group是一個基于中國的間諜組織，其大部分攻擊目標位于東南亞、德國、美國、日本、中國、俄羅斯、巴西、秘魯、白俄羅斯。2015年6月，卡巴斯基還搜集到一些證據(jù)，表明Winnti group的攻擊范圍已經(jīng)從單純的游戲行業(yè)擴大到了電信、制藥公司。

進一步的分析發(fā)現(xiàn)，Winnti group其實是被當成攻擊平臺來感染目標組織的系統(tǒng)。該APT組織使用的攻擊工具叫做“HDRoot”，是2006年開發(fā)出來的。至于Winnti group為什么會使用HDRoot工具?可能是2009年Winnti group成立時，HDRoot的作者加入了Winnti group，也可能是Winnti group在地下市場上買到了該工具。

HDRoot被黑客用來在目標系統(tǒng)上投放惡意后門，進而可以持續(xù)性的進行間諜活動。安全研究員還發(fā)現(xiàn)HDRoot工具受 VMProtect保護，而且在該攻擊案例中，攻擊者首先入侵了一個數(shù)字簽名公司——中國廣州元珞(音譯)科技公司，然后用它們的數(shù)字簽名來掩蓋HDRoot工具。

安全專家們發(fā)現(xiàn)了兩個HDRoot傳送的后門樣本，其中一個主要針對的是韓國公司;與此同時，卡巴斯基還在美國和俄羅斯分別發(fā)現(xiàn)了這兩個版本的后門。