Första gången som gruppen uppmärksammades var hösten 2011, då en skadlig trojan påträffades på ett stort antal datorer runt om i världen på vilka användare hade spelat ett populärt onlinespel. Efter att spelutgivaren först blivit misstänkt för att försöka spionera på sina kunder blev det efterhand klart att koden hade spridits utan uppsåt och att det i själva verket var utgivaren som var måltavla för attacken.

Spelutgivaren gav då Kaspersky Lab uppdraget att analysera det skadliga programmet. Det visade sig vara det första fallet av skadlig kod med en giltig digital signatur på en 64-bits version av Microsoft Windows.

Efter ytterligare analyser kan Kaspersky Lab konstatera att fler än 30 video- och spelföretag över hela världen hittills har blivit angripa av Winnti-gruppen. Majoriteten av drabbade företag finns i Sydostasien, men offer har identifierats även i bland annat Tyskland, USA, Japan, Kina, Ryssland och Brasilien.
Utöver industrispionage tror Kaspersky Labs experter att syftet bakom attackerna kan vara att:

• Manipulera samlandet av valuta i spelen som används av spelare för att konvertera virtuella pengar till riktiga pengar.

• Använda stulen källkod från spelservrar för att söka efter sårbarheter inuti spelen. Detta för att påskynda manipulationen av spelvaluta och samlandet av denna utan att väcka misstankar.

• Använda stulen källkod från spelservrar för att driftsätta egna piratservrar.
Kaspersky Labs produkter upptäcker och oskadliggör de skadliga program som används av Winnti-gruppen. Programmen namnges som Backdoor.Win32.Winnti, Backdoor. Win64.Winnti, Rootkit. Win32.Winnti och Rootkit.Win64.Winnti.