Le autorità canadesi hanno arrestato un uomo di 23 anni accusato di gestire la botnet KimWolf, una grande rete DDoS a noleggio collegata ad attacchi informatici record e a oltre un milione di dispositivi infetti in tutto il mondo.
Secondo U.S. court documents , Jacob Butler di Ottawa, Canada, avrebbe gestito la botnet sotto l’alias online “Dort.” Butler è stato arrestato in base a un mandato di estradizione e ora deve affrontare accuse negli Stati Uniti relative ad aver aiutato e favorito intrusioni informatiche. Se condannato, potrebbe rischiare fino a 10 anni di carcere.
Gli investigatori affermano che KimWolf operava come una piattaforma per il cybercrimine come servizio che permetteva ad altri criminali di affittare l’accesso a una vasta rete di dispositivi connessi a internet compromessi. La botnet ha principalmente preso di mira dispositivi vulnerabili dell’Internet delle Cose, inclusi webcam, cornici digitali per foto, router, decoder Android TV e hardware per lo streaming.
Una volta infettati, i dispositivi venivano utilizzati per lanciare attacchi di negazione del servizio distribuiti, capaci di sopraffare server e infrastrutture online mirate con enormi volumi di traffico internet. Le autorità hanno collegato il botnet ad attacchi rivolti a organizzazioni di tutto il mondo, inclusi sistemi collegati al Dipartimento di Informazione del Dipartimento della Difesa degli Stati Uniti.
Il Dipartimento di Giustizia degli Stati Uniti ha dichiarato che gli attacchi associati a KimWolf hanno raggiunto quasi 30 terabit al secondo, rendendoli tra i più grandi attacchi DDoS mai registrati pubblicamente fino all’epoca. I funzionari hanno detto che il botnet ha emesso più di 25.000 comandi di attacco prima che le autorità interrompessero la sua infrastruttura all’inizio di quest’anno.
L’arresto segue un’operazione internazionale più ampia condotta nel marzo 2026 che ha preso di mira l’infrastruttura di comando e controllo dietro diversi importanti botnet IoT, tra cui KimWolf, AISURU, JackSkid e Mossad. Autorità degli Stati Uniti, del Canada e della Germania hanno partecipato all’operazione insieme a società private di cybersecurity.
I funzionari hanno dichiarato che le quattro botnet hanno collettivamente infettato più di tre milioni di dispositivi in tutto il mondo. I ricercatori avevano precedentemente collegato le reti AISURU e KimWolf a un attacco DDoS iper-volumetrico da 31,4 Tbps che è durato circa 35 secondi e ha attivato automaticamente i sistemi di mitigazione tra i principali fornitori di infrastrutture internet.
I documenti giudiziari indicano che gli investigatori hanno identificato Butler tramite i registri degli indirizzi IP, le storie delle transazioni, informazioni sugli account online e i dati di messaggistica digitale collegati all’operazione botnet. Il giornalista indipendente di cybersecurity Brian Krebs aveva precedentemente collegato l’alias “Dort” all’attività di KimWolf all’inizio di quest’anno dopo aver segnalato molestie e attacchi DDoS contro i ricercatori di sicurezza.
Le autorità hanno inoltre interrotto dozzine di ulteriori servizi DDoS a noleggio ritenuti supportano l’ecosistema più ampio dei botnet. Diversi domini sequestrati sono stati reindirizzati a pagine di avviso controllate dalle forze dell’ordine che notificavano ai visitatori che i servizi DDoS a noleggio sono illegali.
Gli esperti di cybersecurity avvertono che le botnet IoT rimangono una delle minacce più grandi per l’infrastruttura internet perché molti dispositivi smart continuano a funzionare con firmware obsoleti, servizi esposti o password predefinite deboli. Una volta compromessi, gli aggressori possono aggiungere silenziosamente quei dispositivi a reti botnet capaci di generare enormi volumi di traffico malevolo.