據外媒報道，Alphabet網絡安全部門Chronicle的研究人員，發現了Linux版本的Winnti惡意軟件。這是研究人員首次發現Winnti的Linux版本，其與中國APT組織有關。

研究人員認為，在Winnti Umbrella黑客組織的背后，有幾個APT組織，包括Winnti，Gref，PlayfullDragon，APT17，ViceDog，Axiom，BARIUM，LEAD，PassCV，Wicked Panda和ShadowPad。 這些組織使用相似的策略、技術和程序(TTP)，在某些情況下，甚至共享攻擊手段。

研究人員在其VirusTotal平臺上搜索Winnti惡意軟件的樣本時，發現了Linux版本的Winnti惡意軟件，其可以追溯到2015年，當時被黑客用于攻擊越南一家游戲公司。

根據Chronicle發布的報告，Winnti惡意軟件采用模塊化結構，使用插件實現不同的功能。通過進一步分析發現，Linux版本的Winnti和Winnti 2.0 Windows版本之間有許多相似之處，Linux版本也使用多種協議處理出站通信，如ICMP，HTTP以及自定義TCP和UDP協議等。Linux版本還允許黑客直接訪問受感染系統。

Linux用途的擴展可能暗示了黑客們下一個目標的操作系統要求，但也可能只是嘗試利用許多企業的安全盲點，與Penquin Turla和APT28的Linux XAgent變體一樣。