Theo báo cáo từ 401TRG của Nhóm nghiên cứu và phân tích mối đe dọa tại ProtectWise đã kết nối các cuộc tấn công mạng của LEAD, BARIUM, Wicked Panda, GREF, và PassCV có liên quan tới cơ quan tình báo Trung Quốc có tên gọi  “Winnti Umbrella” do nhóm này sử dụng công cụ “cửa sau” Winnti .
Những cuộc tấn công này đã xuất hiện từ năm 2009 nhưng có thể có từ năm 2007 . Những nhóm trên đã chia xẻ cùng phương phát tấn công bao gồm các chiến dịch Phishing để tăng cường khả năng truy cập tới những tài khoản và những mạng .
Nhóm này cũng dùng những phần mềm độc hại đã được thay đổi và cố găng để không bị phát hiện , sử dụng phần mềm và hệ thống đã được cài đặt trên máy nạn nhân để cho mục đích độc hại .
Winnti Umbrella có hơn 30 công ty  game video trong thời gian hơn 4 năm và thường xâm nhập tới những công ty  công nghệ cao nhắm tới những mục tiêu tại Mỹ ,Nhật , Hàn Quốc và Trung Quốc . Winnti cũng nhắm tới các mục tiêu chính trị như các nhà báo , các nhà hoạt động xã hội và các chính phủ nước khác .
Những kẻ tấn công đã phạm sai lầm nên họ đã bị phát hiện vị trí tấn công thực sự ở Trung Quốc . Các thủ phạm sử dụng các máy chủ điều khiển và ra lệnh để che dấu IP của mình nhưng họ đã vô tình truy cập tới tới một số máy chủ sử dụng địa chỉ IP của mạng China Unicom Beijing Network ở quận Xicheng .