Die kanadischen Behörden haben einen 23-jährigen Mann festgenommen, der beschuldigt wird, das KimWolf-Botnetz betrieben zu haben, ein bedeutendes DDoS-For-Hire-Netzwerk, das mit rekordverdächtigen Cyberangriffen und weltweit mehr als einer Million infizierten Geräten in Verbindung steht.
Laut U.S. court documents , Jacob Butler aus Ottawa, Kanada, soll das Botnetz unter dem Online-Alias “Dort” verwaltet haben. Butler wurde aufgrund eines Auslieferungsbefehls festgenommen und sieht sich nun in den Vereinigten Staaten Anklagen gegenüber, die mit Beihilfe zu Computereinbrüchen verbunden sind. Wenn er verurteilt wird, drohen ihm bis zu zehn Jahre Gefängnis.
Ermittler sagen, KimWolf habe als Cybercrime-as-a-Service-Plattform betrieben, die es anderen Kriminellen ermöglichte, Zugang zu einem riesigen Netzwerk kompromittierter, internetverbundener Geräte zu vermieten. Das Botnetz richtete sich hauptsächlich an verwundbare Internet-of-Things-Geräte, darunter Webcams, digitale Fotorahmen, Router, Android-TV-Geräte und Streaming-Hardware.
Nach der Infektion wurden die Geräte eingesetzt, um verteilte Denial-of-Service-Angriffe zu starten, die in der Lage waren, gezielte Server und Online-Infrastruktur mit enormen Internetverkehrsmengen zu überfordern. Die Behörden brachten das Botnetz mit Angriffen in Verbindung, die sich gegen Organisationen weltweit richteten, darunter Systeme, die mit dem Informationsnetzwerk des US-Verteidigungsministeriums verbunden sind.
Das US-Justizministerium erklärte, dass Angriffe im Zusammenhang mit KimWolf fast 30 Terabit pro Sekunde erreichten, was sie zu den größten öffentlich veröffentlichten DDoS-Angriffen zu diesem Zeitpunkt machte. Beamte sagten, das Botnetz habe mehr als 25.000 Angriffsbefehle erteilt, bevor die Behörden Anfang dieses Jahres seine Infrastruktur gestört haben.
Die Festnahme folgt auf eine umfassendere internationale Strafverfolgungsoperation, die im März 2026 durchgeführt wurde und die Kommando- und Kontrollinfrastruktur hinter mehreren großen IoT-Botnetzen ins Visier nahm, darunter KimWolf, AISURU, JackSkid und Mossad. Behörden aus den Vereinigten Staaten, Kanada und Deutschland nahmen an der Operation teil, zusammen mit privaten Cybersicherheitsunternehmen.
Beamte berichteten, dass die vier Botnetze zusammen weltweit mehr als drei Millionen Geräte infiziert haben. Forscher haben zuvor die AISURU- und KimWolf-Netzwerke mit einem 31,4 Tbps hypervolumetrischen DDoS-Angriff in Verbindung gebracht, der etwa 35 Sekunden dauerte und automatisch Minderungssysteme bei großen Internetinfrastrukturanbietern auslöste.
Gerichtsunterlagen zeigen, dass Ermittler Butler anhand von IP-Adressdaten, Transaktionsverläufen, Online-Kontoinformationen und digitalen Nachrichtendaten, die mit dem Botnet-Betrieb verbunden sind, identifiziert haben. Der unabhängige Cybersicherheitsjournalist Brian Krebs hatte Anfang dieses Jahres das Alias “Dort” mit KimWolf-Aktivitäten in Verbindung gebracht, nachdem er von Belästigungen und DDoS-Angriffen gegen Sicherheitsforscher berichtet hatte.
Die Behörden störten außerdem Dutzende weiterer DDoS-for-hire-Dienste, die angeblich das breitere Botnet-Ökosystem unterstützen. Mehrere beschlagnahmte Domains wurden auf von der Strafverfolgung kontrollierte Warnseiten umgeleitet, die Besucher darauf hinweisen, dass DDoS-for-hire-Dienste illegal sind.
Cybersicherheitsexperten warnen, dass IoT-Botnets weiterhin eine der größten Bedrohungen für die Internetinfrastruktur sind, da viele Smart-Geräte weiterhin mit veralteter Firmware, exponierten Diensten oder schwachen Standardpasswörtern arbeiten. Sobald sie kompromittiert sind, können Angreifer diese Geräte still und leise Botnet-Netzwerken hinzufügen, die enorme Mengen bösartigen Datenstroms erzeugen können.