“HDRoot” bị phát hiện khi mẫu dữ liệu của phần mềm độc hại này gây sự chú ý với nhóm phân tích và nghiên cứu toàn cầu Kaspersky Lab (GReAT). Phân tích cho thấy, HDRoot rootkit là nền tảng phổ biến xuất hiện dai dẳng trên hệ thống mục tiêu. Nó có thể được dùng để khởi chạy những công cụ khác.

Theo dữ liệu an ninh mạng của Kaspersky Lab, Hàn Quốc là khu vực chính ở Đông Á mà Winnti nhắm tới, cùng với các mục tiêu khác trong khu vực bao gồm các tổ chức tại Nhật Bản, Trung Quốc, Bangladesh và Ấn Độ. Kaspersky Lab cũng phát hiện sự lây nhiễm của HDRoot trong một công ty ở Anh và một công ty ở Nga, cả 2 công ty này trước đây đều đã từng bị Winnti nhắm tới.

Kaspersky Lab tin rằng, Winnti được thành lập từ năm 2009, tức tổ chức này chưa từng tồn tại vào năm 2006. Tuy nhiên, nhiều khả năng Winnti sử dụng phần mềm từ bên thứ ba, có thể từ chợ đen Trung Quốc hoặc thông qua những nhóm tội phạm mạng khác.