Tổ chức tội phạm Winnti được biết đến với những chiến dịch gián điệp mạng nhắm vào các công ty phần mềm, đặc biệt là những công ty trong ngành công nghiệp trò chơi điện tử. Gần đây, nó còn nhắm vào công ty dược phẩm.
“HDRoot” bị phát hiện khi mẫu dữ liệu của phần mềm độc hại này gây sự chú ý với nhóm phân tích và nghiên cứu toàn cầu Kaspersky Lab (GReAT). Phân tích cho thấy, HDRoot rootkit là nền tảng phổ biến xuất hiện dai dẳng trên hệ thống mục tiêu. Nó có thể được dùng để khởi chạy những công cụ khác.
Các nhà nghiên cứu GReAT tìm thấy 2 loại backdoor được khởi chạy với sự trợ giúp từ công cụ này và có thể còn nhiều hơn nữa. Một trong những loại backdoor này có thể vượt mặt sản phẩm chống virus lâu đời ở Hàn Quốc: AhnLab's V3 Lite, AhnLab's V3 365 Clinic và ESTsoft’s ALYac. Chính vì vậy mà Winnti đã dùng nó để khởi chạy phần mềm độc hại trên máy mục tiêu ở Hàn Quốc.
Theo dữ liệu an ninh mạng của Kaspersky Lab, Hàn Quốc là khu vực chính ở Đông Á mà Winnti nhắm tới, cùng với các mục tiêu khác trong khu vực bao gồm các tổ chức tại Nhật Bản, Trung Quốc, Bangladesh và Ấn Độ. Kaspersky Lab cũng phát hiện sự lây nhiễm của HDRoot trong một công ty ở Anh và một công ty ở Nga, cả 2 công ty này trước đây đều đã từng bị Winnti nhắm tới.
Kaspersky Lab tin rằng, Winnti được thành lập từ năm 2009, tức tổ chức này chưa từng tồn tại vào năm 2006. Tuy nhiên, nhiều khả năng Winnti sử dụng phần mềm từ bên thứ ba, có thể từ chợ đen Trung Quốc hoặc thông qua những nhóm tội phạm mạng khác.