Sicherheitsjournalist Brian Krebs enthüllt die Identität des Botmasters hinter Kimwolf, dem weltweit größten Botnetz: Jacob Butler aus Ottawa, Kanada. Butler soll hinter einer Welle von DDoS-Attacken, Doxxing und Swatting-Angriffen stecken und behauptet nun, dass er impersoniert wird.
Im Januar 2026 offenbarte KrebsOnSecurity, wie ein Sicherheitsforscher eine Schwachstelle aufdeckte, die zur Entwicklung von Kimwolf führte – dem weltweit größten und zerstörerischsten Botnetz. Seither orchestriert die Person hinter Kimwolf, die sich „Dort” nennt, eine Serie von DDoS-Attacken, Doxxing-Kampagnen und E-Mail-Flutungen gegen den Forscher und Journalisten Brian Krebs. Zuletzt veranlasste Dort sogar, dass ein SWAT-Team zum Haus des Forschers geschickt wurde. Eine tiefgehende Recherche basierend auf öffentlich verfügbaren Informationen zeichnet nun ein klares Bild von Dorts Identität.
Ein 2020 veröffentlichtes „Dox” deutete darauf hin, dass Dort ein kanadischer Teenager (Geburtsdatum August 2003) sei, der die Aliases „CPacket” und „M1ce” nutzte. Die Open-Source-Intelligence-Plattform OSINT Industries findet einen GitHub-Account unter den Namen Dort und CPacket, erstellt 2017 mit der E-Mail-Adresse jay.miner232@gmail.com.
Die Cyber-Intelligence-Firma Intel 471 dokumentiert, dass diese E-Mail-Adresse zwischen 2015 und 2019 zur Registrierung in mehreren Cybercrime-Foren genutzt wurde, darunter Nulled (Benutzername „Uubuntuu”) und Cracked (Benutzername „Dorted”). Beide Accounts wurden von derselben IP-Adresse bei Rogers Canada (99.241.112.24) aus erstellt.
Dort war ursprünglich als extremer Minecraft-Spieler bekannt und entwickelte „Dortware” – Software, die Spielern beim Cheaten half. Doch irgendwann verlagerte sich die kriminelle Aktivität vom Gaming-Bereich zu deutlich schwerwiegenderen Verbrechen.
Unter dem Alias DortDev war diese Person 2022 aktiv in den Chat-Servern der berüchtigten Cybercrime-Gruppe LAPSUS$. Dort bot dort einen Dienst zur Registrierung von Wegwerf-E-Mail-Adressen sowie „Dortsolver” an – Code zum Umgehen von CAPTCHA-Systemen. Diese Dienste wurden 2022 im Telegram-Kanal SIM Land beworben, ein Forum für SIM-Swapping- und Account-Übernahme-Aktivitäten.
Die Cyber-Intelligence-Firma Flashpoint dokumentiert, dass Dort diese Services zusammen mit einem anderen Hacker namens „Qoft” entwickelte. Qoft prahlt 2022 damit, mit seinem exklusiven Geschäftspartner Jacob (Dort) mehr als 250.000 Dollar wert an Microsoft Xbox Game Pass-Accounts gestohlen zu haben.
Doch wer ist dieser Jacob? Der Breach-Tracking-Service Constella Intelligence identifiziert, dass das Passwort von jay.miner232@gmail.com nur noch von einer weiteren E-Mail-Adresse genutzt wurde: jacobbutler803@gmail.com. Das 2020er-Dox hatte August 2003 (8/03) als Geburtsdatum genannt.
DomainTools.com zeigt, dass diese E-Mail-Adresse 2015 verwendet wurde, um mehrere Minecraft-bezogene Domains zu registrieren – alle auf den Namen Jacob Butler in Ottawa, Kanada und die Telefonnummer 613-909-9727. Die gleiche E-Mail wurde 2016 zur Registrierung auf dem Hacker-Forum Nulled und für den Minecraft-Account „M1CE” verwendet. Durch die Verfolgung des zugehörigen Passworts finden sich weitere Verbindungen zu jbutl3@ocdsb.ca – einer E-Mail-Adresse des Ottawa-Carleton District School Board.
Daten von Spycloud deuten darauf hin, dass Jacob Butler zeitweise einen Computer mit seiner Mutter und einem Geschwisterteil teilte – möglicherweise erklärt dies die Verbindung mehrerer E-Mail-Adressen zum Passwort „jacobsplugs”. Weder Jacob Butler noch andere Familienmitglieder antworteten auf Anfragen für Stellungnahmen.
Dort reagierte mit extremer Aggression auf die KrebsOnSecurity-Veröffentlichung vom Januar 2, in der Benjamin Brundage von Synthient aufzeigte, wie Kimwolf-Betreiber eine Schwachstelle in Residential-Proxy-Services ausnutzten. Diese Veröffentlichung führte zur Behebung der Sicherheitslücken und massiv verlangsamte Kimwolfs Ausbreitungsfähigkeit. Daraufhin erstellte Dort einen Discord-Server mit Kreis’ Namen und postete Doxxing-Informationen sowie Gewaltandrohungen gegen Brundage und andere.
Wochen später nutzte Dort denselben Server, um einen Swatting-Angriff gegen Brundage zu planen und anzudrohen. Brundage bestätigte, dass daraufhin die örtliche Polizei sein Haus besuchte – als Reaktion auf einen Swatting-Hoax. Dort, unter dem Alias „Meow”, postete ein Türen-Emoji und verhöhnte Brundage. Ein weiteres Signalement war ein auf Soundcloud hochgeladener Diss-Track von DortDev mit ausdrücklichen Todes- und Gewaltdrohungen gegen Brundage.
In einem Aktualisierungs-Statement gab Jacob Butler eine knappe Telefonauskunft. Er behauptete, er sei seit 2021 nicht mehr online gewesen, nachdem sein Haus mehrfach geschwattet wurde. Er räumte ein, früher einen Minecraft-Cheat entwickelt zu haben, bestritt aber jegliche Beteiligung an Dortsolver oder anderen Aktivitäten nach 2021.
“Das war ein wirklich alter Hack und ich erinnere mich nicht mal an seinen Namen”, sagte Butler. Er meinte, er kämpfe mit Autismus und sozialen Interaktionen und bleibe meist zuhause bei seiner Mutter. Butler behauptet, jemand müsse seine alten Accounts kompromittiert haben und personifiziere ihn jetzt als Dort online.
Allein: Es gibt Unstimmigkeiten in Butlers Zeitleiste. Beispielsweise ähnelt Jacobs Stimme in dem Telefongespräch bemerkenswert der Stimme des Dort aus einem September-2022-Video einer Clash-of-Code-Programmier-Kompetition. Darin flucht Dort wild, ähnlich wie in dem Diss-Rap gegen Brundage, und droht sogar mit Swatting gegen seinen Gegner.
Butler beharrte darauf, dass dies nicht seine Stimme sei und jemand möglicherweise einen Voice-Changer oder Voice-Cloning nutze.
Quelle: Krebs on Security