As autoridades canadenses prenderam um homem de 23 anos acusado de operar a botnet KimWolf, uma importante rede de DDoS por encomenda ligada a ataques cibernéticos recordes e a mais de um milhão de dispositivos infectados no mundo todo.
Segundo U.S. court documents , Jacob Butler, de Ottawa, Canadá, supostamente gerenciava o botnet sob o pseudônimo online “Dort.” Butler foi preso sob um mandado de extradição e agora enfrenta acusações nos Estados Unidos relacionadas a auxílio e encobricidade em intrusões de computadores. Se condenado, ele pode enfrentar até 10 anos de prisão.
Investigadores afirmam que a KimWolf operava como uma plataforma de cibercrime como serviço que permitia a outros criminosos alugarem acesso a uma enorme rede de dispositivos conectados à internet comprometidos. A botnet tinha como alvo principal dispositivos vulneráveis da Internet das Coisas, incluindo webcams, molduras digitais para fotos, roteadores, caixas Android TV e hardware de streaming.
Uma vez infectados, os dispositivos foram usados para lançar ataques distribuídos de negação de serviço, capazes de sobrecarregar servidores e infraestrutura online direcionados com volumes massivos de tráfego na internet. As autoridades ligaram o botnet a ataques direcionados a organizações ao redor do mundo, incluindo sistemas conectados à Rede de Informação do Departamento de Defesa dos EUA.
O Departamento de Justiça dos EUA afirmou que ataques associados ao KimWolf atingiram quase 30 terabits por segundo, tornando-os um dos maiores ataques DDoS divulgados publicamente já registrados até então. Autoridades disseram que o botnet emitiu mais de 25.000 comandos de ataque antes que as autoridades interrompessem sua infraestrutura no início deste ano.
A prisão segue uma operação internacional mais ampla de aplicação da lei realizada em março de 2026 que teve como alvo a infraestrutura de comando e controle por trás de vários botnets importantes de IoT, incluindo KimWolf, AISURU, JackSkid e Mossad. Autoridades dos Estados Unidos, Canadá e Alemanha participaram da operação ao lado de empresas privadas de cibersegurança.
Autoridades disseram que os quatro botnets infectaram coletivamente mais de três milhões de dispositivos em todo o mundo. Pesquisadores anteriormente vincularam as redes AISURU e KimWolf a um ataque DDoS hipervolumétrico de 31,4 Tbps que durou aproximadamente 35 segundos e acionou automaticamente sistemas de mitigação em grandes provedores de infraestrutura de internet.
Documentos judiciais indicam que os investigadores identificaram Butler por meio de registros de endereços IP, históricos de transações, informações de contas online e registros de mensagens digitais ligados à operação do botnet. O jornalista independente de cibersegurança Brian Krebs já havia associado o pseudônimo “Dort” à atividade do KimWolf no início deste ano, após relatar assédio e ataques DDoS contra pesquisadores de segurança.
As autoridades também interromperam dezenas de serviços adicionais de DDoS por encomenda, que se acreditava apoiarem o ecossistema mais amplo de botnets. Vários domínios apreendidos foram redirecionados para páginas de alerta controladas pelas autoridades, notificando os visitantes de que serviços de DDoS sob encomenda são ilegais.
Especialistas em cibersegurança alertam que botnets IoT continuam sendo uma das maiores ameaças à infraestrutura da internet porque muitos dispositivos inteligentes continuam operando com firmware desatualizado, serviços expostos ou senhas padrão fracas. Uma vez comprometidos, os atacantes podem silenciosamente adicionar esses dispositivos a redes botnet capazes de gerar volumes enormes de tráfego malicioso.