Arrestato il creatore del botnet KimWolf: 23enne canadese incriminato

Le autorità canadesi hanno arrestato mercoledì un 23enne di Ottawa sospettato di aver costruito e gestito KimWolf, un botnet per dispositivi IoT (Internet of Things) che si è diffuso rapidamente negli ultimi sei mesi. Secondo l’accusa, la rete di dispositivi infetti è stata usata per una serie di attacchi DDoS (distributed denial-of-service) di grande portata.

KrebsOnSecurity aveva già identificato pubblicamente il sospettato a febbraio 2026, dopo che aveva lanciato campagne di DDoS, doxing e swatting contro l’autore del sito e un ricercatore di sicurezza. Ora Jacob Butler, noto anche come “Dort”, deve affrontare accuse penali sia in Canada che negli Stati Uniti.

Un atto d’accusa, depositato oggi in un tribunale dell’Alaska, accusa Butler di aver gestito il botnet KimWolf. Secondo il Dipartimento di Giustizia americano, l’arresto in Canada è avvenuto su mandato di estradizione richiesto dagli Stati Uniti. Butler è attualmente in custodia in Canada, in attesa dell’udienza preliminare prevista per la prossima settimana.

Un botnet da record per potenza e diffusione

KimWolf prendeva di mira dispositivi tradizionalmente protetti da firewall, come cornici digitali e webcam, infettandoli e noleggiandoli ad altri criminali informatici o costringendoli a partecipare ad attacchi DDoS. Tra i bersagli, anche gli indirizzi IP del Dipartimento della Difesa americano, tanto che il caso è stato investigato dal Defense Criminal Investigative Service con l’assistenza dell’FBI di Anchorage.

“KimWolf è stato collegato ad attacchi DDoS misurati a quasi 30 Terabit al secondo, un record per volume di attacco DDoS registrato”, si legge nella nota del Dipartimento di Giustizia. “Questi attacchi hanno causato perdite finanziarie che per alcune vittime hanno superato il milione di dollari. Il botnet KimWolf avrebbe emesso oltre 25.000 comandi di attacco.”

Le indagini e l’arresto

Il 19 marzo, le autorità americane e internazionali hanno sequestrato l’infrastruttura tecnica di KimWolf e di altri tre botnet DDoS (Aisuru, JackSkid e Mossad), tutti in competizione per lo stesso pool di dispositivi vulnerabili. Già il 28 febbraio KrebsOnSecurity aveva identificato Butler come il creatore di KimWolf, analizzando indirizzi email, registrazioni su forum criminali e messaggi su Telegram e Discord.

Nonostante l’esposizione, Dort ha continuato a minacciare e molestare i ricercatori che avevano contribuito a identificarlo. Ha rivendicato la responsabilità di almeno due attacchi swatting contro il fondatore di Synthient, una startup di sicurezza che aveva aiutato a correggere una vulnerabilità critica sfruttata da KimWolf per diffondersi più velocemente di qualsiasi altro botnet IoT. Ben Brundage, fondatore di Synthient, ha detto a KrebsOnSecurity di essere sollevato dall’arresto: “Spero che questo ponga fine alle molestie.”

Le indagini hanno collegato Butler all’amministrazione del botnet tramite indirizzi IP, account online, transazioni e messaggi ottenuti con regolare autorizzazione giudiziaria. L’atto d’accusa mostra che Butler ha fatto poco per separare la sua identità reale da quella criminale.

Le accuse e le possibili conseguenze

In Ontario, la polizia provinciale ha eseguito un mandato di perquisizione il 19 marzo a casa di Butler, sequestrando diversi dispositivi. Butler è stato accusato di accesso non autorizzato a computer, possesso di strumenti per ottenere accesso non autorizzato e danneggiamento di dati informatici. Rimarà in carcere fino all’udienza del 26 maggio.

Negli Stati Uniti è accusato di concorso in intrusione informatica. Se estradato, processato e condannato, rischia fino a 10 anni di carcere, anche se la sentenza potrebbe essere ridotta in base alle linee guida federali, che tengono conto di fattori attenuanti come la giovane età, l’assenza di precedenti penali e il livello di collaborazione con gli investigatori.