卡巴斯基实验室公布了对中国(疑似)黑客组织Winnti的详细分析报告（PDF），发现该组织与最近发生的许多攻击事件存在千丝万缕的联系。

Winnti组织专门针对游戏公司托管的服务器，窃取源代码创建私服，同时盗窃钱财或虚拟货币。它攻击了超过30家网络游戏公司，受害者包括了2家北美公司，14家韩国公司，2家德国公司，2家俄罗斯公司。Winnti的网络间谍活动至少持续了四年，它引起关注是在2011年，一种木马在网游玩家之间传播，这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的，有人怀疑是游戏公司试图监视玩家。但随后的调查发现，网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序，发现该恶意程序是一个为64位Windows环境编译的DLL库，使用了一个正确签名的驱动，包含了RAT（远程管理工具）。赛门铁克将该木马命名为Winnti，卡巴斯基延用了这一名字。

木马使用的数字证书属于韩国网络游戏公司KOG，由Verisign发行，现已撤销。该证书只是Winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合：2011年攻击韩国社交网站Cyworld和Nate的木马使用的数字证书来自日本游戏公司 YNK Japan；上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自YNK Japan；另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司MGAME Corp卡巴斯基认为，所有被窃取的游戏公司数字证书都源于Winnti组织，该组织要么与其它中国黑客组织关系密切，要么通过地下黑市供应了数字证书。

卡巴斯基分析的显示，恶意程序依赖于一位杀毒软件公司中国研究员开发的木马分析工具AheadLib，恶意程序作者发现AheadLib可以方便的创建恶意程序代理库（malicious proxy-libraries）。当受害者感染木马之后，它会下载程序ff._exe到Config.Msi文件夹内，搜索HTML、MS Excel、MS Word、Adobe、PowerPoint和MS Works文档，以及TXT文本文件。研究人员在其编码中发现了中文字符。

研究人员通过各种线索对攻击者身份展开了搜索，发现了一些可能是团队成员的网站和博客，

如：

http://zhikou.yo2.cn/

http://www.exploit-db.com/exploits/11053/


http://zzsky.5d6d.net/archiver/tid-127.html


http://forum.cnsec.org/thread-50222-1-1.html


http://zzsky.5d6d.net/archiver/tid-127.html

代码中的一个字符ydteam似乎指向了黑客网站 ydteam.cn，WHOIS搜索发现注册人叫魏楠，注册商是北京新网数码信息技术公司，魏楠的邮箱是[email protected]，QQ号97676416，出生日期1992年12月21日。感兴趣的朋友可以阅读PDF。