據(jù)外媒報(bào)道，Alphabet網(wǎng)絡(luò)安全部門Chronicle的研究人員，發(fā)現(xiàn)了Linux版本的Winnti惡意軟件。這是研究人員首次發(fā)現(xiàn)Winnti的Linux版本，其與中國APT組織有關(guān)。

研究人員認(rèn)為，在Winnti Umbrella黑客組織的背后，有幾個(gè)APT組織，包括Winnti，Gref，PlayfullDragon，APT17，ViceDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda和ShadowPad。 這些組織使用相似的策略、技術(shù)和程序(TTP)，在某些情況下，甚至共享攻擊手段。

研究人員在其VirusTotal平臺(tái)上搜索Winnti惡意軟件的樣本時(shí)，發(fā)現(xiàn)了Linux版本的Winnti惡意軟件，其可以追溯到2015年，當(dāng)時(shí)被黑客用于攻擊越南一家游戲公司。

根據(jù)Chronicle發(fā)布的報(bào)告，Winnti惡意軟件采用模塊化結(jié)構(gòu)，使用插件實(shí)現(xiàn)不同的功能。通過進(jìn)一步分析發(fā)現(xiàn)，Linux版本的Winnti和Winnti 2.0 Windows版本之間有許多相似之處，Linux版本也使用多種協(xié)議處理出站通信，如ICMP，HTTP以及自定義TCP和UDP協(xié)議等。Linux版本還允許黑客直接訪問受感染系統(tǒng)。

Linux用途的擴(kuò)展可能暗示了黑客們下一個(gè)目標(biāo)的操作系統(tǒng)要求，但也可能只是嘗試?yán)迷S多企業(yè)的安全盲點(diǎn)，與Penquin Turla和APT28的Linux XAgent變體一樣。