🛡 VULNERABILIDADES 🛡

¿Quién es el botmaster Kimwolf “Dort”?

⏰1 de marzo de 2026🛡CyberObservatorio

Idioma

◢ VULNERABILIDADES ◣

¿Quién es el botmaster Kimwolf “Dort”?

⟫ 28/02/2026 ⟫ BrianKrebs

Fuente: Krebs on Security

A principios de enero de 2026, el portal KrebsOnSecurity reveló cómo un investigador de seguridad hizo público un fallo que fue utilizado para crear Kimwolf, la botnet más grande y perturbadora del mundo. Desde entonces, la persona al mando de Kimwolf, conocida por el seudónimo “Dort”, ha coordinado una serie de ataques de denegación de servicio distribuido (DDoS), hostigamiento y saturación de correos electrónicos contra el investigador y este autor, y más recientemente, provocó el envío de un equipo SWAT al hogar del investigador. Este artículo examina lo que se puede conocer sobre Dort basándose en información pública.

Un “dox” publicado en 2020 afirmaba que Dort era un adolescente canadiense (nacido en agosto de 2003) que utilizaba los alias “CPacket” y “M1ce”. Una búsqueda del nombre de usuario CPacket en la plataforma de inteligencia de código abierto OSINT Industries revela una cuenta de GitHub bajo los nombres Dort y CPacket, creada en 2017 con la dirección de correo electrónico jay.miner232@gmail.com.

La firma de inteligencia cibernética Intel 471 ha indicado que la dirección de correo jay.miner232@gmail.com fue utilizada entre 2015 y 2019 para crear cuentas en múltiples foros de ciberdelincuencia, incluyendo Nulled (con el nombre de usuario “Uubuntuu”) y Cracked (usuario “Dorted”); Intel 471 informa que ambas cuentas fueron creadas desde la misma dirección de Internet en Rogers Canada (99.241.112.24).

Dort era un jugador extremadamente activo en el popular videojuego de Microsoft, Minecraft, donde ganó notoriedad gracias a su software “Dortware”, que ayudaba a los jugadores a hacer trampas. Sin embargo, en algún momento, Dort evolucionó de hackear juegos de Minecraft a facilitar crímenes mucho más graves.

Además, Dort utilizó el apodo DortDev, una identidad que estuvo activa en marzo de 2022 en el servidor de chat del prolífico grupo de ciberdelincuencia conocido como LAPSUS$. Dort ofrecía un servicio para registrar direcciones de correo electrónico temporales, así como “Dortsolver”, un código capaz de eludir varios servicios CAPTCHA diseñados para prevenir el abuso automatizado de cuentas. Ambas ofertas fueron publicitadas en 2022 en SIM Land, un canal de Telegram dedicado a actividades de suplantación de identidad (SIM-swapping) y toma de cuentas.

La firma de inteligencia cibernética Flashpoint ha indexado publicaciones de Dort en SIM Land de 2022 que muestran que esta persona desarrolló los servicios de correo electrónico desechable y el bypass de CAPTCHA con la ayuda de otro hacker que utilizaba el seudónimo “Qoft”. “Yo realmente solo trabajo con Jacob”, comentó Qoft en 2022 en respuesta a otro usuario, refiriéndose a su socio exclusivo Dort. En la misma conversación, Qoft presumió que ambos habían robado más de 250,000 dólares en cuentas de Microsoft Xbox Game Pass mediante el desarrollo de un programa que creaba masivamente identidades de Game Pass utilizando datos de tarjetas de pago robadas.

¿Quién es Jacob, al que Qoft se refiere como su socio comercial? El servicio de rastreo de brechas Constella Intelligence encontró que la contraseña utilizada por jay.miner232@gmail.com fue reutilizada por una sola dirección de correo electrónico más: jacobbutler803@gmail.com. Recordemos que el dox de 2020 de Dort indicaba que su fecha de nacimiento era agosto de 2003 (8/03).

Al buscar esta dirección de correo en DomainTools.com se revela que fue utilizada en 2015 para registrar varios dominios relacionados con Minecraft, todos asignados a un Jacob Butler en Ottawa, Canadá, y al número de teléfono de Ottawa 613-909-9727.

Constella Intelligence también indica que jacobbutler803@gmail.com fue utilizado para registrar una cuenta en el foro de hackers Nulled en 2016, así como el nombre de cuenta “M1CE” en Minecraft. Al investigar la contraseña utilizada por su cuenta en Nulled, se descubre que se compartía con las direcciones de correo j.a.y.m.iner232@gmail.com y jbutl3@ocdsb.ca, esta última perteneciente a un dominio del Ottawa-Carleton District School Board.

Los datos indexados por el servicio de rastreo de brechas Spycloud sugieren que en algún momento Jacob Butler compartió un ordenador con su madre y un hermano, lo que podría explicar por qué sus cuentas de correo estaban conectadas a la contraseña “jacobsplugs”. Ni Jacob ni ninguno de los otros miembros del hogar Butler respondieron a las solicitudes de comentario.

El servicio de inteligencia de código abierto Epieos encuentra que jacobbutler803@gmail.com creó la cuenta de GitHub “MemeClient”. Mientras tanto, Flashpoint indexó una publicación anónima eliminada de Pastebin.com de 2017 que declaraba que MemeClient era la creación de un usuario llamado CPacket, uno de los primeros seudónimos de Dort.

¿Por qué está tan enfadado Dort? El 2 de enero, KrebsOnSecurity publicó “La Botnet Kimwolf está Acechando tu Red Local”, que exploraba la investigación sobre la botnet por Benjamin Brundage, fundador del servicio de seguimiento de proxies Synthient. Brundage descubrió que los maestros de la botnet Kimwolf estaban explotando una vulnerabilidad poco conocida en los servicios de proxy residenciales para infectar dispositivos mal defendidos, como cajas de televisión y marcos digitales, conectados a las redes internas y privadas de los puntos de acceso de proxy.

Para cuando esta historia fue publicada, la mayoría de los proveedores de proxy vulnerables ya habían sido notificados por Brundage y habían corregido las debilidades en sus sistemas. Este proceso de remediación de vulnerabilidades ralentizó drásticamente la capacidad de Kimwolf para expandirse, y dentro de unas horas tras la publicación de la historia, Dort creó un servidor de Discord a mi nombre que comenzó a difundir información personal y amenazas violentas contra Brundage, este autor y otros.

Dort y sus cómplices se incriminaron al planear ataques de swatting en un servidor público de Discord.

La semana pasada, Dort y sus amigos utilizaron ese mismo servidor de Discord (entonces llamado “Krebs’s Koinbase Kallers”) para amenazar con un ataque de swatting contra Brundage, publicando nuevamente su dirección y otra información personal. Brundage comentó a KrebsOnSecurity que oficiales de policía locales visitaron su hogar en respuesta a una broma de swatting que ocurrió alrededor de la misma fecha en que otro miembro del servidor publicó un emoji de puerta y se burló de Brundage.

Dort, usando el seudónimo “Meow”, se burla del fundador de Synthient, Ben Brundage, con una imagen de una puerta.

Alguien en el servidor luego enlazó a un nuevo tema de Soundcloud, que contenía un mensaje pegajoso de Dort que decía: “Estás muerto, negro. mejor cuida tu maldito trasero. duerme con un ojo abierto, perra”.

El contenido de este fragmento refleja las tensiones y complicaciones que pueden surgir en el mundo de la ciberseguridad, especialmente en lo que respecta a la suplantación de identidad y el acoso online. La declaración inicial, en forma de un rap de disidencia, plantea una metáfora inquietante sobre la vulnerabilidad y el riesgo que enfrenta Jacob Butler, quien ha sido objeto de ataques de "swatting". Este tipo de ataque implica la llamada a las fuerzas del orden con información falsa para que envíen unidades SWAT a la residencia de la víctima, poniendo en peligro su vida. La mención de que "si su cabeza no es volada por los oficiales SWAT" pone de manifiesto la gravedad de estas acciones y el potencial de daño que pueden causar.

En una actualización a las 10:29 a.m., Jacob Butler respondió a las solicitudes de comentario mediante una breve conversación telefónica con KrebsOnSecurity. Durante esta conversación, Butler explicó que no había prestado atención a las solicitudes anteriores debido a su ausencia en línea desde 2021, momento en el que su hogar fue objeto de múltiples ataques de swatting. Aceptó haber creado y distribuido un mod de trampas para Minecraft en el pasado, pero insistió en que no ha jugado al juego en años y que no está involucrado en Dortsolver ni en ninguna otra actividad relacionada con el apodo "Dort" desde 2021.

"Era un truco muy antiguo y no recuerdo su nombre", comentó Butler sobre su modificación de Minecraft. "Estoy muy estresado, hombre. No sé si la gente va a intentar swotearme de nuevo o qué. Después de eso, prácticamente me alejé de todo, me desconecté y dije 'a la mierda'. Ya no navego por internet. No entiendo por qué la gente seguiría persiguiéndome, para ser completamente honesto".

Cuando se le preguntó sobre su situación laboral, Butler reveló que principalmente permanece en casa ayudando a su madre con las tareas del hogar, ya que enfrenta dificultades relacionadas con el autismo y la interacción social. Sostiene que alguien debe haber comprometido una o más de sus antiguas cuentas y que ahora lo están suplantando en línea bajo el alias "Dort".

"Alguien probablemente me está suplantando, y ahora estoy realmente preocupado", afirmó Butler. "Esto me está haciendo revivir todo".

Sin embargo, hay inconsistencias en la línea temporal de Butler. Por ejemplo, la voz de Jacob durante nuestra conversación telefónica era notablemente similar a la de Jacob/Dort, cuya voz se puede escuchar en una competición de Clash of Code de septiembre de 2022 entre Dort y otro programador (Dort perdió). Alrededor de los seis minutos y diez segundos de la grabación, Dort lanza una diatriba llena de insultos que refleja el torrente de groserías en el rap de disidencia que publicó Dortdev amenazando a Brundage. Dort se escucha de nuevo alrededor de los dieciséis minutos; cerca de los veintiséis minutos, Dort amenaza con swotear a su oponente.

Butler aclaró que la voz de Dort no es la suya, sino la de un imitador que probablemente ha clonado su voz.

"Me gustaría aclarar que eso absolutamente no fui yo", afirmó Butler. "Debe haber alguien utilizando un cambiador de voz. O algo por el estilo. Porque antes ya estaban clonando mi voz y enviando clips de audio de 'yo' diciendo cosas absurdas".

Este tipo de suplantación no solo plantea serias preocupaciones sobre la seguridad personal de Butler, sino que también resalta las amenazas más amplias que enfrentan muchas personas en el entorno digital actual, donde la identidad en línea puede ser fácilmente manipulada y utilizada con fines malintencionados.

◢ VULNERABILIDADES ◣

Who is the Kimwolf Botmaster “Dort”?

⟫ 28/02/2026 ⟫ BrianKrebs

Source: Krebs on Security

In early January 2026, KrebsOnSecurity revealed how a security researcher disclosed a vulnerability that was used to buildKimwolf, the world’s largest and most disruptive botnet. Since then, the person in control of Kimwolf — who goes by the handle “Dort” — has coordinated a barrage of distributed denial-of-service (DDoS), doxing and email flooding attacks against the researcher and this author, and more recently caused a SWAT team to be sent to the researcher’s home. This post examines what is knowable about Dort based on public information. A public “dox” created in 2020 asserted Dort was a teenager from Canada (DOB August 2003) who used the aliases “CPacket” and “M1ce.” A search on the username CPacket at the open source intelligence platformOSINT Industriesfinds aGitHubaccount under the names Dort and CPacket that was created in 2017 using the email addressjay.miner232@gmail.com. Image: osint.industries. The cyber intelligence firmIntel 471says jay.miner232@gmail.com was used between 2015 and 2019 to create accounts at multiple cybercrime forums, includingNulled(username “Uubuntuu”) andCracked(user “Dorted”); Intel 471 reports that both of these accounts were created from the same Internet address at Rogers Canada (99.241.112.24). Dort was an extremely active player in the Microsoft gameMinecraftwho gained notoriety for their “Dortware” software that helped players cheat. But somewhere along the way, Dort graduated from hacking Minecraft games to enabling far more serious crimes. Dort also used the nicknameDortDev, an identity that was active in March 2022 on the chat server for the prolific cybercrime group known asLAPSUS$. Dort peddled a service for registering temporary email addresses, as well as “Dortsolver,” code that could bypass various CAPTCHA services designed to prevent automated account abuse. Both of these offerings were advertised in 2022 onSIM Land, a Telegram channel dedicated toSIM-swappingand account takeover activity. The cyber intelligence firmFlashpointindexed 2022 posts on SIM Land by Dort that show this person developed the disposable email and CAPTCHA bypass services with the help of another hacker who went by the handle “Qoft.” “I legit just work with Jacob,” Qoft said in 2022 in reply to another user, referring to their exclusive business partner Dort. In the same conversation, Qoft bragged that the two had stolen more than $250,000 worth ofMicrosoft Xbox Game Pass accountsby developing a program that mass-created Game Pass identities using stolen payment card data. Who is the Jacob that Qoft referred to as their business partner? The breach tracking serviceConstella Intelligencefinds the password used by jay.miner232@gmail.com was reused by just one other email address:jacobbutler803@gmail.com. Recall that the 2020 dox of Dort said their date of birth was August 2003 (8/03). Searching this email address atDomainTools.comreveals it was used in 2015 to register several Minecraft-themed domains, all assigned to a Jacob Butler in Ottawa, Canada and to the Ottawa phone number 613-909-9727. Constella Intelligence finds jacobbutler803@gmail.com was used to register an account on the hacker forum Nulled in 2016, as well as the account name “M1CE” on Minecraft. Pivoting off the password used by their Nulled account shows it was shared by the email addressesj.a.y.m.iner232@gmail.comandjbutl3@ocdsb.ca, the latter being an address at a domain for theOttawa-Carelton District School Board. Data indexed by the breach tracking serviceSpycloudsuggests that at one point Jacob Butler shared a computer with his mother and a sibling, which might explain why their email accounts were connected to the password “jacobsplugs.” Neither Jacob nor any of the other Butler household members responded to requests for comment. The open source intelligence serviceEpieosfinds jacobbutler803@gmail.com created the GitHub account “MemeClient.” Meanwhile, Flashpoint indexed a deleted anonymous Pastebin.com post from 2017 declaring that MemeClient was the creation of a user named CPacket — one of Dort’s early monikers. Why is Dort so mad? On January 2, KrebsOnSecurity publishedThe Kimwolf Botnet is Stalking Your Local Network, which explored research into the botnet byBenjamin Brundage, founder of the proxy tracking serviceSynthient. Brundage figured out that the Kimwolf botmasters were exploiting a little-known weakness in residential proxy services to infect poorly-defended devices — like TV boxes and digital photo frames — plugged into the internal, private networks of proxy endpoints. By the time that story went live, most of the vulnerable proxy providers had been notified by Brundage and had fixed the weaknesses in their systems. That vulnerability remediation process massively slowed Kimwolf’s ability to spread, and within hours of the story’s publication Dort created a Discord server in my name that began publishing personal information about and violent threats against Brundage, Yours Truly, and others. Dort and friends incriminating themselves by planning swatting attacks in a public Discord server. Last week, Dort and friends used that same Discord server (then named “Krebs’s Koinbase Kallers”) to threaten a swatting attack against Brundage, again posting his home address and personal information. Brundage told KrebsOnSecurity that local police officers subsequently visited his home in response to a swatting hoax which occurred around the same time that another member of the server posted a door emoji and taunted Brundage further. Dort, using the alias “Meow,” taunts Synthient founder Ben Brundage with a picture of a door. Someone on the server then linked to a cringeworthy (and NSFW) new Soundclouddiss trackrecorded by the user DortDev that included a stickied message from Dort saying, “Ur dead nigga. u better watch ur fucking back. sleep with one eye open. bitch.” “It’s a pretty hefty penny for a new front door,” the diss track intoned. “If his head doesn’t get blown off by SWAT officers. What’s it like not having a front door?” With any luck, Dort will soon be able to tell us all exactly what it’s like. Update, 10:29 a.m.:Jacob Butler responded to requests for comment, speaking with KrebsOnSecurity briefly via telephone. Butler said he didn’t notice earlier requests for comment because he hasn’t really been online since 2021, after his home was swatted multiple times. He acknowledged making and distributing a Minecraft cheat long ago, but said he hasn’t played the game in years and was not involved in Dortsolver or any other activity attributed to the Dort nickname after 2021. “It was a really old cheat and I don’t remember the name of it,” Butler said of his Minecraft modification. “I’m very stressed, man. I don’t know if people are going to swat me again or what. After that, I pretty much walked away from everything, logged off and said fuck that. I don’t go online anymore. I don’t know why people would still be going after me, to be completely honest.” When asked what he does for a living, Butler said he mostly stays home and helps his mom around the house because he struggles with autism and social interaction. He maintains that someone must have compromised one or more of his old accounts and is impersonating him online as Dort. “Someone is actually probably impersonating me, and now I’m really worried,” Butler said. “This is making me relive everything.” But there are issues with Butler’s timeline. For example, Jacob’s voice in our phone conversation was remarkably similar to the Jacob/Dort whose voice can be heard inthis Sept. 2022 Clash of Code competitionbetween Dort and another coder (Dort lost). At around 6 minutes and 10 seconds into the recording, Dort launches into a cursing tirade that mirrors the stream of profanity in the diss rap that Dortdev posted threatening Brundage. Dort can be heard again at around 16 minutes; at around 26:00, Dort threatens to swat his opponent. Butler said the voice of Dort is not his, exactly, but rather that of an impersonator who had likely cloned his voice. “I would like to clarify that was absolutely not me,” Butler said. “There must be someone using a voice changer. Or something of the sorts. Because people were cloning my voice before and sending audio clips of ‘me’ saying outrageous stuff.”

𝐗 Twitter f Facebook ☎ WhatsApp ✈ Telegram

← VOLVER A CIBERSEGURIDAD