Au moins 35 sociétés de développement de jeux de rôle en ligne massivement multijoueurs ont été les victimes d'un groupe de cybercriminels. Les chercheurs en sécurité de Kaspersky Lab parlent du groupe Winnti qui aurait un accent chinois et sévit depuis 2009.
Parmi les objectifs de Winnti, le vol du code source de jeux en ligne, de sommes d'argent virtuelles utilisées par les joueurs, mais aussi le vol de certificats numériques signés par les éditeurs et qui se retrouvent utilisés dans d'autres attaques.
Grâce à de tels certificats, des attaques ont été menées à l'encontre d'activistes pro-Tibet. Ils ont aussi permis de signer des malwares impliqués dans des attaques contre l'industrie aérospatiale, le réseau social CyWorld qui est très populaire en Corée du Sud.
La campagne contre ces sociétés a été découverte en 2011 suite à l'infection par un cheval de Troie d'un grand nombre de joueurs en ligne. Compilé pour Windows 64 bits, ce malware avait été délivré via une mise à jour du serveur officiel du site d'un jeu.
Certains joueurs ont d'abord soupçonné l'éditeur du jeu de les espionner. Il s'est finalement avéré que le malware était arrivé par erreur sur les ordinateurs des utilisateurs. Les joueurs n'étaient pas la cible des cybercriminels.
Actuellement, le groupe Winnti est toujours actif et les investigations continuent. Kaspersky Lab indique " travailler avec la communauté de la sécurité informatique, le secteur du jeu en ligne et les autorités de certification pour identifier d'autres serveurs infectés. "
