«Winnti», eine damals von Kaspersky Lab enttarnte, hochprofessionelle Gruppe von Hackern, ist seit mindestens 2009 aktiv. Die vermutlich aus China oder einem anderen südostasiatischen Land stammende Bande war vor Jahren noch darauf spezialisiert, in Netzwerke für Onlinespiele einzudringen und dort etwa Spielgeld und digitale Zertifikate abzugreifen, die sie dann auf dem Schwarzmarkt in echtes Geld tauschten. Erst seit kurzem habe die Gruppe ihre Aktivitäten auf Cyberspionage gegen Unternehmen ausgebaut, heißt es in dem Bericht.

Mittlerweile habe sich allerdings das Einsatzspektrum laut BSI so stark ausgeweitet, dass der Schadcode von «Winnti» von mehreren Gruppen genutzt werden könnte. ThyssenKrupp hatte im Frühjahr entdeckt, dass das Unternehmen zunächst unbemerkt Ziel eines Cyber-Angriffs geworden war. Die Attacke wurde nach sechsmonatiger Abwehrschlacht erfolgreich abgewehrt. Redakteuren der «Wirtschaftswoche» gewährte das Unternehmen dabei Einblick, um den Angriff für die Öffentlichkeit zu protokollieren.