Le autorità statunitensi e canadesi hanno arrestato e incriminato un canadese accusato di gestire la botnet KimWolf, una massiccia rete di cybercriminalità collegata ad alcuni dei più grandi attacchi di negazione del servizio distribuito (DDoS) mai resi pubblici.
Secondo documenti giudiziari resi fuori sigillamento nel Distretto dell’Alaska, Jacob Butler, 23 anni, di Ottawa, Canada, avrebbe gestito il botnet KimWolf sotto l’alias online “Dort”. Le autorità canadesi hanno arrestato Butler mercoledì in base a un mandato di estradizione statunitense, e ora è accusato di aver aiutato e favorito intrusioni informatiche. Se condannato, potrebbe rischiare fino a 10 anni di carcere.
Gli investigatori affermano che KimWolf ha funzionato come una piattaforma DDoS a noleggio che ha infettato milioni di dispositivi connessi a internet in tutto il mondo, inclusi cornici digitali, webcam, box di streaming basate su Android e altro hardware Internet delle Cose (IoT). I dispositivi compromessi sarebbero stati noleggiati a cybercriminali che hanno utilizzato l’infrastruttura per lanciare attacchi su larga scala contro servizi e reti online.
Il Dipartimento di Giustizia degli Stati Uniti ha dichiarato che KimWolf era collegato ad attacchi che raggiungevano quasi 30 terabit al secondo, che i funzionari hanno descritto come un volume record di attacchi DDoS all’epoca. Le autorità hanno inoltre collegato la botnet ad attacchi che hanno preso di mira le gamme IP del Department of Defense Information Network e migliaia di altri sistemi a livello globale.
Le autorità stimano che il botnet abbia eseguito più di 25.000 comandi di attacco e causato danni finanziari superiori a milioni di dollari ad alcune vittime. I ricercatori che hanno monitorato il malware hanno precedentemente riferito che KimWolf si è rapidamente espanso dopo aver sfruttato le debolezze delle reti proxy residenziali e dei dispositivi Android vulnerabili.
L’arresto segue un’operazione internazionale di polizia più ampia condotta nel marzo 2026, durante la quale le autorità hanno sequestrato infrastrutture di comando e controllo associate a KimWolf e a tre botnet correlate identificate come Aisuru, JackSkid e Mossad. Gli investigatori hanno dichiarato che i quattro botnet hanno infettato complessivamente più di tre milioni di dispositivi IoT in tutto il mondo.
Separatamente, le autorità californiane hanno anche sequestrato infrastrutture collegate a 45 servizi DDoS a noleggio ritenuti supportino operazioni di cybercriminali. Il Dipartimento di Giustizia ha dichiarato che diversi domini associati ai servizi sono stati reindirizzati a pagine di avviso controllate dalle forze dell’ordine che informano i visitatori che l’attività DDoS a noleggio è illegale.
Le forze dell’ordine avrebbero collegato Butler a KimWolf utilizzando i registri degli indirizzi IP, la cronologia delle transazioni, dati degli account online e prove della piattaforma di messaggistica ottenute tramite processi legali. Gli investigatori hanno anche collegato il sospetto a campagne di molestie online rivolte ai ricercatori di cybersecurity che hanno seguito la crescita della botnet.
I ricercatori di cybersecurity avvertono che le botnet IoT rimangono una minaccia importante perché dispositivi connessi a internet poco protetti vengono spesso lasciati esposti online con password deboli, firmware obsoleti o vulnerabilità non patchate. Una volta infettati, i dispositivi possono essere controllati a distanza e trasformati in armi in campagne DDoS su larga scala capaci di disturbare infrastrutture online critiche.