Kaspersky Lab ha publicado un informe de investigación detallado en el que analiza una campaña de ciberespionaje realizada por la organización cibercriminal conocida como «Winnti».
Según el informe de Kaspersky Lab, el grupo Winnti ha estado atacando a empresas de la industria del juego online desde 2009 y actualmente sigue en activo. Los objetivos del grupo son la adquisición de certificados digitales firmados por los proveedores de software, además del robo de propiedad intelectual, incluyendo el código fuente de los proyectos de los juegos online.
El primer incidente que llamó la atención sobre las actividades maliciosas del grupo Winnti se produjo en otoño de 2011, cuando un troyano malicioso fue detectado en un gran número de equipos en todo el mundo. El vínculo común entre todos los usuarios infectados era que jugaban a un popular juego online. Poco después del incidente, se comprobó que el programa malicioso que había infectado los ordenadores de los usuarios formaba parte de una actualización periódica del servidor oficial de la compañía de videojuegos. Los usuarios y los miembros de la comunidad de jugadores sospechaban que el editor del juego instaló el malware para espiar a sus clientes. Sin embargo, más tarde descubrió que el programa malicioso se instaló por error en los equipos de los usuarios y que el ataque en realidad iba dirigido a la compañía de videojuegos.
En respuesta, la compañía productora de videojuegos desde cuyos servidores se propagaba el troyano pidió a Kaspersky Lab que analizara la muestra que sus empleados habían descubierto en el servidor de actualizaciones. Resultó que era una biblioteca DLL compilada para las versiones de 64 bits de Windows. Esta biblioteca maliciosa afectaba a los equipos de los jugadores que usaban tanto la versión de 32 bits, como la de 64 bits del sistema operativo.
La biblioteca DLL descubierta era una herramienta de administración remota totalmente funcional (RAT), que da a los atacantes la capacidad de controlar el ordenador de la víctima sin el conocimiento del usuario. El hallazgo fue significativo ya que este troyano ha sido el primer programa malicioso en una versión de 64 bits de Microsoft Windows 7 con una firma digital válida.
El análisis de las muestras de Winnti realizado por Kaspersky permitió determinar a quiénes iba destinado este archivo malicioso. Más de 30 empresas de la industria del juego online habían sido infectadas por el grupo Winnti, y la mayoría eran empresas de desarrollo de software que producen juegos online en el sudeste de Asia. Sin embargo, las compañías de juego online ubicadas en Alemania, Estados Unidos, Japón, China, Rusia, Brasil, Perú y Bielorrusia también se identificaron como víctimas del grupo Winnti.
