🛡 CIBERCRIMEN 🛡

Arrestan y acusan al presunto botmaster de Kimwolf, 'Dort', en EE. UU. y Canadá

🛡CyberObservatorio
Arrestan y acusan al presunto botmaster de Kimwolf, 'Dort', en EE. UU. y Canadá
Idioma

Arrestan y acusan al presunto botmaster de Kimwolf, 'Dort', en EE. UU. y Canadá

Fuente: Krebs on Security

El arresto de Jacob Butler, un joven de 23 años originario de Ottawa, Canadá, ha puesto de manifiesto la creciente amenaza que representan los botnets en el ámbito de la ciberseguridad. Butler, conocido en el mundo del cibercrimen como "Dort", ha sido acusado de construir y operar Kimwolf, un botnet de Internet de las Cosas (IoT) que ha esclavizado millones de dispositivos para llevar a cabo una serie de masivos ataques de denegación de servicio distribuido (DDoS) en los últimos seis meses. Este caso no solo afecta a los usuarios de dispositivos IoT, sino que también plantea serios desafíos para la seguridad de las infraestructuras críticas, las empresas y la protección de la información personal.

La denuncia penal, recientemente desclasificada en un tribunal del distrito de Alaska, carga a Butler con la operación del botnet Kimwolf. El Departamento de Justicia de Estados Unidos reveló que dicha denuncia fue dessellada tras su arresto en Canadá por parte de la Policía Provincial de Ontario, en cumplimiento de una orden de extradición emitida por EE.UU. Butler se encuentra actualmente bajo custodia canadiense, esperando una primera audiencia judicial programada para la próxima semana.

Kimwolf ha demostrado ser un botnet particularmente insidioso, ya que ha apuntado a dispositivos que, tradicionalmente, están "protegidos" por firewalls, como marcos de fotos digitales y cámaras web. Estos sistemas infectados eran alquilados a otros cibercriminales o forzados a participar en ataques DDoS de magnitudes récord, afectando incluso las direcciones IP del Departamento de Defensa de EE.UU. En este contexto, la División de Investigación Criminal del mismo departamento ha comenzado a investigar el caso, con el apoyo de la oficina del FBI en Anchorage.

El Departamento de Justicia ha indicado que los ataques llevados a cabo por Kimwolf alcanzaron un impresionante volumen de casi 30 Terabits por segundo, estableciendo un nuevo récord en la historia de los ataques DDoS. Estos ataques han causado pérdidas financieras significativas, superando el millón de dólares en algunos casos para las víctimas afectadas. Se estima que el botnet Kimwolf ha emitido más de 25,000 comandos de ataque, lo que subraya la magnitud de su operación.

El 19 de marzo, las autoridades estadounidenses, en colaboración con sus socios internacionales en la aplicación de la ley, realizaron una operación que resultó en la incautación de la infraestructura técnica de Kimwolf y otros tres grandes botnets DDoS denominados Aisuru, JackSkid y Mossad, todos compitiendo por un mismo pool de dispositivos vulnerables. Esta acción refleja un esfuerzo coordinado para desmantelar redes criminales que operan a gran escala.

A finales de febrero de este año, KrebsOnSecurity identificó a Butler como el maestro de Kimwolf, tras analizar sus diversas direcciones de correo electrónico, registros en foros de cibercrimen y publicaciones en servidores públicos de Telegram y Discord. Desde entonces, Butler ha continuado amenazando e intimidando a los investigadores que trabajaron para desvelar su identidad real, lo que ha dificultado la contención de su botnet.

Entre las acciones más preocupantes atribuidas a Butler, se encuentran al menos dos ataques de “swatting” dirigidos al fundador de Synthient, una startup de seguridad que ayudó a mitigar una vulnerabilidad crítica que Kimwolf estaba explotando para expandirse más rápidamente que otros botnets de IoT. La intervención de Synthient fue tan significativa que el Departamento de Justicia agradeció públicamente a la empresa por su colaboración. Su fundador, Ben Brundage, expresó su alivio por el arresto de Butler, comentando que espera que esto ponga fin al acoso que ha sufrido.

Los investigadores han logrado vincular a Butler con la administración del botnet Kimwolf a través de direcciones IP, información de cuentas en línea, registros de transacciones y datos obtenidos mediante procesos legales. La denuncia penal también revela que Butler hizo poco para separar su identidad en el mundo real de su actividad criminal en línea, lo que facilitó su identificación.

En abril, el Departamento de Justicia, junto con las autoridades de Europa, llevó a cabo la incautación de nombres de dominio asociados a casi cuatro docenas de servicios de DDoS por encargo. Sin embargo, debido a un error burocrático, esta lista de dominios incautados permaneció sellada hasta la fecha. Al menos uno de esos servicios colaboró con el botnet Kimwolf.

El 19 de marzo, la Policía Provincial de Ontario ejecutó una orden de registro en la dirección de Butler en Ottawa, donde se incautaron múltiples dispositivos. Como resultado de esta investigación, Butler fue arrestado y enfrenta cargos en Canadá por uso no autorizado de computadoras, posesión de dispositivos para obtener acceso no autorizado a sistemas informáticos y alteración de datos informáticos. Se espera que permanezca en custodia hasta una audiencia programada para el 26 de mayo.

En Estados Unidos, Butler enfrenta un cargo de complicidad en la intrusión informática. Si es extraditado y condenado en un tribunal estadounidense, podría enfrentar hasta 10 años de prisión. Sin embargo, esta pena máxima podría verse atenuada por factores como su juventud, la ausencia de un historial delictivo y el nivel de cooperación con los investigadores, según las pautas de sentencia de EE.UU.

Este caso no solo pone de relieve la amenaza que representan los botnets como Kimwolf, sino también la necesidad urgente de que tanto individuos como organizaciones fortalezcan sus medidas de ciberseguridad. La vigilancia constante y la educación sobre la seguridad en línea son más cruciales que nunca en un entorno donde las vulnerabilidades pueden ser explotadas para causar estragos a gran escala.

Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada

Source: Krebs on Security

Canadian authorities on Wednesday arrested a 23-year-old Ottawa man on suspicion of building and operatingKimwolf, a fast spreading Internet-of-Things botnet that enslaved millions of devices for use in a series of massive distributed denial-of-service (DDoS) attacks over the past six months. KrebsOnSecurity publicly named the suspect in February 2026 after the accused launched a volley of DDoS, doxing and swatting campaigns against this author and a security researcher. He now faces criminal hacking charges in both Canada and the United States. A criminal complaint unsealed today in an Alaska district court chargesJacob Butler, a.k.a. “Dort,” of Ottawa, Canada with operating the Kimwolf DDoS botnet. Astatementfrom the Department of Justice says the complaint against Butler was unsealed following the defendant’s arrest in Canada by theOntario Provincial Policepursuant to a U.S. extradition warrant. Butler is currently in Canadian custody awaiting an initial court hearing scheduled for early next week. The government said Kimwolf targeted infected devices which were traditionally “firewalled” from the rest of the internet, such as digital photo frames and web cameras. The infected systems were then rented to other cybercriminals, or forced to participate in record-smashing DDoS attacks, as well as assaults that affected Internet address ranges for theDepartment of Defense. Consequently, the DoD’sDefense Criminal Investigative Serviceis investigating the case, with assistance from the FBI field office in Anchorage. “KimWolf was tied to DDoS attacks which were measured at nearly 30 Terabits per second, a record in recorded DDoS attack volume,” the Justice Department statement reads. “These attacks resulted in financial losses which, for some victims, exceeded one million dollars. The KimWolf botnet is alleged to have issued over 25,000 attack commands.” On March 19, U.S. authorities joined international law enforcement partners inseizing the technical infrastructure for Kimwolfand three other large DDoS botnets — namedAisuru,JackSkidandMossad— that were all competing for the same pool of vulnerable devices. On February 28, KrebsOnSecurityidentified Butler as the Kimwolf botmasterafter digging through his various email addresses, registrations on the cybercrime forums, and posts to public Telegram and Discord servers. However, Dort continued to threaten and harass researchers who helped track down his real-life identity and dramatically slow the spread of his botnet. Dort claimed responsibility for at least two swatting attacks targeting the founder ofSynthient, a security startup that helped tosecure a widespread critical security weaknessthat Kimwolf was using to spread faster and more effectively than any other IoT botnet out there. Synthient was among many technology companies thanked by the Justice Department today, and Synthient’s founderBen Brundagetold KrebsOnSecurity he’s relieved Butler is in custody. “Hopefully this will end the harassment,” Brundage said. An excerpt from the criminal complaint against Butler, detailing how he ordered a swatting attack against Ben Brundage, the founder of the security firm Synthient. The government says investigators connected Butler to the administration of the KimWolf botnet through IP address, online account information, transaction records, and online messaging application records obtained through the issuance of legal process. Thecriminal complaint against Butler(PDF) shows he did little to separate his real-life and cybercriminal identities (something we demonstrated in our February unmasking of Dort). In April, the Justice Department joined authorities across Europe inseizing domain namestied to nearly four-dozen DDoS-for-hire services, although because of a bureaucratic mix-up the list of seized domains has remain sealed until today. The DOJ said at least one of those services collaborated with Butler’s Kimwolf botnet. A statement from the Ontario Provincial Police said a search warrant was executed on March 19 at Butler’s address in Ottawa, where they seized multiple devices. As a result of that investigation, Butler was arrested and charged this week with unauthorized user of computer; possession of device to obtain unauthorized use of computer system or to commit mischief; and mischief in relation to computer data. He is scheduled to remain in custody until a hearing on May 26. In the United States, Butler is facing one count of aiding and abetting computer intrusion. If extradited, tried and convicted in a U.S. court, Butler could face up to 10 years in prison, although that maximum sentence would likely be heavily tempered by considerations in the U.S. Sentencing Guidelines, which make allowances for mitigating factors such as youth, lack of criminal history and level of cooperation with investigators.

Arrestan y acusan al presunto botmaster de Kimwolf, 'Dort', en EE. UU. y Canadá | Ciberseguridad - NarcoObservatorio