Der Ausgangspunkt ist ein im Jahr 2020 veröffentlichtes „Dox", das Dort als Jugendlichen aus Kanada mit dem Geburtsdatum August 2003 beschreibt und ihm die Aliasnamen „CPacket" und „M1ce" zuordnet. Eine Suche nach dem Namen CPacket auf der OSINT-Plattform OSINT Industries führt zu einem 2017 angelegten GitHub-Konto unter den Namen Dort und CPacket, registriert mit der Adresse jay.miner232@gmail.com.
Laut der Sicherheitsfirma Intel 471 wurde diese E-Mail-Adresse zwischen 2015 und 2019 genutzt, um Konten in mehreren Cybercrime-Foren anzulegen, darunter Nulled (Benutzername „Uubuntuu") und Cracked (Benutzer „Dorted"). Beide Konten seien von derselben Internetadresse bei Rogers Canada (99.241.112.24) aus erstellt worden.
Dort fiel zunächst als sehr aktiver Minecraft-Spieler auf und wurde durch die Cheat-Software „Dortware" bekannt. Später verlagerte sich die Aktivität auf schwerwiegendere Delikte. Unter dem Namen DortDev trat die Person im März 2022 im Chat-Server der Cybercrime-Gruppe LAPSUS$ auf und bot dort einen Dienst für temporäre E-Mail-Adressen sowie „Dortsolver" an — Code, der CAPTCHA-Dienste umgehen konnte. Beide Angebote wurden 2022 im Telegram-Kanal SIM Land beworben, der sich mit SIM-Swapping und Kontoübernahmen befasst.
Die Sicherheitsfirma Flashpoint indexierte Beiträge, wonach Dort die Dienste gemeinsam mit einem Hacker namens „Qoft" entwickelte. Qoft erklärte 2022, er arbeite ausschließlich mit „Jacob" zusammen, und rühmte sich, beide hätten mit gestohlenen Zahlungskartendaten Xbox-Game-Pass-Konten im Wert von über 250.000 US-Dollar massenhaft erstellt.
Wer ist dieser Jacob? Laut dem Dienst Constella Intelligence wurde das Passwort von jay.miner232@gmail.com nur von einer weiteren Adresse wiederverwendet: jacobbutler803@gmail.com. Eine Suche bei DomainTools.com zeigt, dass diese Adresse 2015 zur Registrierung mehrerer Minecraft-Domains diente, die einem Jacob Butler in Ottawa, Kanada, und der Telefonnummer 613-909-9727 zugeordnet sind.
Constella Intelligence verbindet jacobbutler803@gmail.com mit einem Nulled-Konto von 2016 sowie dem Minecraft-Namen „M1CE". Über das Nulled-Passwort lassen sich zudem die Adressen j.a.y.m.iner232@gmail.com und jbutl3@ocdsb.ca verknüpfen — Letztere gehört zur Domain des Ottawa-Carleton District School Board. Daten von Spycloud deuten darauf hin, dass Jacob Butler zeitweise einen Rechner mit Mutter und Geschwistern teilte. Der Dienst Epieos ordnet jacobbutler803@gmail.com das GitHub-Konto „MemeClient" zu; ein 2017 gelöschter Pastebin-Beitrag, den Flashpoint indexierte, schrieb MemeClient dem Nutzer CPacket zu.
Auslöser der Eskalation war der am 2. Januar erschienene Artikel „The Kimwolf Botnet is Stalking Your Local Network", der die Forschung von Benjamin Brundage, Gründer des Dienstes Synthient, vorstellte. Brundage erkannte, dass die Kimwolf-Betreiber eine Schwäche in Residential-Proxy-Diensten ausnutzten, um schlecht gesicherte Geräte wie TV-Boxen und digitale Bilderrahmen in den privaten Netzwerken von Proxy-Endpunkten zu infizieren. Bis zur Veröffentlichung hatten die meisten betroffenen Proxy-Anbieter die Lücke geschlossen, was die Ausbreitung von Kimwolf stark bremste.
Innerhalb von Stunden richtete Dort einen Discord-Server im Namen des Autors ein, auf dem persönliche Daten und Gewaltdrohungen gegen Brundage und andere veröffentlicht wurden. Kürzlich nutzten Dort und weitere Beteiligte denselben Server, um einen Swatting-Angriff gegen Brundage anzudrohen. Brundage berichtete KrebsOnSecurity, dass daraufhin örtliche Polizisten infolge eines vorgetäuschten Notrufs an seiner Wohnung erschienen.
In einem Update meldete sich Jacob Butler telefonisch bei KrebsOnSecurity. Er habe seit 2021 kaum mehr das Internet genutzt, nachdem seine Wohnung mehrfach Ziel von Swatting gewesen sei. Er räumte ein, vor langer Zeit einen Minecraft-Cheat erstellt und verbreitet zu haben, bestreitet aber jede Beteiligung an Dortsolver oder anderen dem Namen Dort nach 2021 zugeschriebenen Aktivitäten. Er bleibe meist zu Hause und helfe seiner Mutter, da ihm Autismus und soziale Kontakte zu schaffen machten; vermutlich habe jemand seine alten Konten übernommen und gebe sich als Dort aus. Auch die Stimme von Dort in einer Aufnahme eines Programmierwettbewerbs vom September 2022 sei nicht seine, sondern die eines Nachahmers, der wohl seine Stimme geklont habe. KrebsOnSecurity hält dem entgegen, dass Butlers Stimme im Telefonat jener Dort-Aufnahme bemerkenswert ähnlich klang.
