De Canadese autoriteiten hebben een 23-jarige man gearresteerd die ervan wordt beschuldigd het KimWolf-botnet te exploiteren, een groot DDoS-for-hire-netwerk dat in verband wordt gebracht met recordgrote cyberaanvallen en meer dan een miljoen geïnfecteerde apparaten wereldwijd.
Volgens U.S. court documents , zou Jacob Butler uit Ottawa, Canada, het botnet hebben beheerd onder het online alias “Dort.” Butler werd gearresteerd op grond van een uitleveringsbevel en wordt nu in de Verenigde Staten aangeklaagd voor hulp en medeplichtigheid aan computerinbraak. Als hij wordt veroordeeld, kan hij tot 10 jaar gevangenisstraf krijgen.
Onderzoekers zeggen dat KimWolf opereerde als een cybercrime-as-a-service-platform dat andere criminelen toegang gaf tot een enorm netwerk van gecompromitteerde internetverbonden apparaten. Het botnet richtte zich voornamelijk op kwetsbare Internet of Things-apparaten, waaronder webcams, digitale fotolijsten, routers, Android TV-boxen en streaminghardware.
Zodra ze geïnfecteerd waren, werden de apparaten gebruikt om verspreide denial-of-service-aanvallen uit te voeren die in staat waren doelgerichte servers en online infrastructuur te overbelasten met enorme hoeveelheden internetverkeer. Autoriteiten koppelden het botnet aan aanvallen die zich richtten op organisaties wereldwijd, waaronder systemen die verbonden waren met het informatienetwerk van het Amerikaanse ministerie van Defensie.
Het Amerikaanse ministerie van Justitie verklaarde dat aanvallen die met KimWolf werden geassocieerd bijna 30 terabit per seconde bereikten, waarmee ze tot de grootste openbaar gemaakte DDoS-aanvallen ooit behoorden. Functionarissen zeiden dat het botnet meer dan 25.000 aanvalscommando’s gaf voordat de autoriteiten eerder dit jaar de infrastructuur verstoorden.
De arrestatie volgt op een bredere internationale wetshandhavingsoperatie in maart 2026, die gericht was op de command-and-control-infrastructuur achter verschillende grote IoT-botnets, waaronder KimWolf, AISURU, JackSkid en Mossad. Autoriteiten uit de Verenigde Staten, Canada en Duitsland namen deel aan de operatie, samen met particuliere cyberbeveiligingsbedrijven.
Functionarissen zeiden dat de vier botnets samen meer dan drie miljoen apparaten wereldwijd hebben geïnfecteerd. Onderzoekers koppelden eerder de AISURU- en KimWolf-netwerken aan een 31,4 Tbps hypervolumetrische DDoS-aanval die ongeveer 35 seconden duurde en automatisch mitigatiesystemen activeerde bij grote internetinfrastructuuraanbieders.
Gerechtelijke stukken geven aan dat onderzoekers Butler hebben geïdentificeerd via IP-adresgegevens, transactiegeschiedenissen, online accountinformatie en digitale berichtenrecords die aan de botnet-operatie zijn gekoppeld. De onafhankelijke cybersecurityjournalist Brian Krebs had eerder dit jaar het alias “Dort” in verband gebracht met KimWolf-activiteiten, nadat hij had melding gemaakt van intimidatie en DDoS-aanvallen gericht op beveiligingsonderzoekers.
De autoriteiten verstoorden ook tientallen extra DDoS-for-hire diensten waarvan wordt aangenomen dat ze het bredere botnet-ecosysteem ondersteunen. Verschillende in beslag genomen domeinen werden doorgestuurd naar door de politie gecontroleerde waarschuwingspagina’s om bezoekers te informeren dat DDoS-for-hire diensten illegaal zijn.
Cybersecurity-experts waarschuwen dat IoT-botnets een van de grootste bedreigingen voor internetinfrastructuur blijven, omdat veel slimme apparaten blijven werken met verouderde firmware, blootgestelde diensten of zwakke standaardwachtwoorden. Zodra ze gecompromitteerd zijn, kunnen aanvallers die apparaten stilletjes toevoegen aan botnetnetwerken die enorme hoeveelheden kwaadaardig verkeer kunnen genereren.