Winnti的网络间谍活动至少持续了四年,它引起关注是在2011年,一种木马在网游玩家之间传播,这种木马是通过官方游戏服务器的定期更新下载到玩家电脑上的,有人怀疑是游戏公司试图监视玩家。但随后的调查发现,网游公司才是攻击目标。卡巴斯基分析了游戏更新服务器上找到的恶意程序,发现该恶意程序是一个为64位Windows环境编译的DLL库,使用了一个正确签名的驱动,包含了RAT(远程管理工具)。赛门铁克将该木马命名为Winnti,卡巴斯基延用了这一名字。 木马使用的数字证书属于韩国网络游戏公司KOG,由Verisign发行,现已撤销。该证书只是Winnti组织使用的一系列游戏公司数字证书之一。卡巴斯基注意到一种巧合:2011年攻击韩国社交网站Cyworld和Nate的木马使用的数字证书来自日本游戏公司YNK Japan ;上个月攻击西藏和维吾尔活动人士的木马使用的证书同样来自YNK Japan;另一起攻击维吾尔活动人士的木马使用的证书来自游戏公司MGAMECorp...卡巴斯基认为,所有被窃取的游戏公司数字证书都源于Winnti组织,该组织要么与其它中国黑客组织关系密切,要么通过地下黑市供应了数字证书。
