中国一家臭名昭著的网络间谍组织Winnti Group违反了亚洲两家游戏制造商和一个游戏平台的网络，在其产品中加入了后门特洛伊木马。

斯洛伐克网络安全公司ESET今天早些时候发布的一份报告显示，其中两个被破坏的产品不再包含中国黑客的后门。

然而，尽管ESET自2月以来一直努力通过各种渠道通知游戏开发商，但第三种游戏仍由泰国开发商Electronics Extreme生产的名为Infestation的游戏仍在推动其后门版本的更新并可以下载。

虽然ESET不想命名其他两个受影响的产品，但ESET报告的IOC(妥协指标)部分中包含的受感染文件哈希将手指指向Garena游戏平台，作为第二个受影响的产品。

第三个受影响的产品(游戏)的名称仍然未知。

Léveillé 在一封电子邮件中对ZDNet表示： “我们已经与其中一名受影响的开发人员合作，我们尊重他们希望保持匿名并处理最终情况的愿望。” “为了公平起见，我们决定避免提及已解决此问题的出版商名称。”

至于后门本身，Léveillé说Winnti Group以类似的方式修改了这三个产品的可执行文件。

恶意代码包含在游戏的主要可执行文件中，并在运行时解密，并在PC的内存中启动执行，而原始游戏/游戏平台则按预期运行。

Léveillé说：“这可能表明恶意因素改变了构建配置，而不是源代码本身。”

研究人员还告诉ZDNet，Winnti Group似乎已使用正常的游戏更新作为将后门版本推向用户的手段，这是导致感染没有立即被发现并得到遏制，吸引大量用户的原因。

“在光明的一面，在C&C [指挥与控制]服务器进行离线后拍摄，这限制了攻击，”列维尔告诉网易科技。

这意味着后门仍然在Electronics Extreme的Infestation游戏中处于活动状态，到今天为止，新用户已被感染，但是后门将无法联系其C&C服务器在受感染主机上下载其他恶意软件。

ESET研究人员Marc-Etienne M.Léveillé今天说：“鉴于受损害的应用程序仍在由其开发人员分发，因此受害程序数万或数十万也就不足为奇了。”

根据ESET的遥测数据，大多数受害者来自亚洲国家，这并不奇怪，因为这些游戏在该地区很受欢迎。

一个特别的奇怪之处是，后门无法在本地语言设置为中文或俄罗斯的计算机上运行(某些计算机在俄罗斯感染，因为它们使用的是非俄语语言设置)。

后门程序的作用是下载第二阶段特洛伊木马程序，ESET称它是一个庞大的DLL文件。研究人员无法分析并查看第二种恶意软件带来的后果，因为控制此第二阶段有效负载的C&C服务器不会返回其他文件来触发该恶意软件的执行。

由于原始后门仅支持四个命令，并且其C&C服务器已关闭，因此暂时而言，用户可以免受第二种恶意软件的威胁。

但是，由于Infestation游戏开发人员未能清理服务器，因此Winnti Group可以使用新后门部署新的恶意游戏更新，该后门与其他C&C服务器通信，并重新激活所有先前感染的用户。

建议感染游戏的玩家尽快重新安装他们的系统。

ESET不确定Winnti Group为何瞄准游戏玩家以及该活动的最终目标是什么，但是ESET过去曾使用受感染的游戏来分发网络间谍软件恶意软件。例如，它在2011年之前就这样做了。

Winnti Group是一个网络间谍组织，已知会进行这种类型的黑客攻击，即所谓的供应链攻击。ProtectWise 401TRG 2018报告列出了几起过去的事件，以及它们去年为收集恶意软件公司的代码签名证书以准备未来的供应链攻击的倾向。