Die ersten Beschwerden tauchten am 3. Februar auf der GitHub-Seite von I2P auf: Zehntausende Router überschwemmten das Netz, sodass bestehende Nutzer keine Verbindung mehr zu legitimen Knoten aufbauen konnten. Berichtet wurde von einer rapide steigenden Zahl neuer Router, die zwar dem Netz beitraten, aber keine Daten übertragen konnten. Auf die Frage eines Nutzers, ob das Netz angegriffen werde, antwortete ein anderer: Es sehe danach aus – sein physischer Router friere ein, sobald die Zahl der Verbindungen 60.000 übersteige.

Noch am selben Tag teilten die Verantwortlichen von Kimwolf in ihrem Discord-Kanal mit, sie hätten I2P versehentlich gestört, nachdem sie versucht hätten, 700.000 mit Kimwolf infizierte Bots als Knoten in das Netz einzubinden. Technisch handelt es sich dabei nicht um einen DDoS-Angriff, für den Kimwolf bekannt ist, sondern um eine sogenannte Sybil-Attacke: In Peer-to-Peer-Netzen kann eine einzelne Instanz das System stören, indem sie eine große Zahl gefälschter, pseudonymer Identitäten erzeugt und kontrolliert.

Die Zahl der beitretenden Router überstieg die normale Netzgröße um ein Vielfaches. Die Wikipedia-Seite von I2P beziffert das Netz auf rund 55.000 weltweit verteilte Rechner. Lance James, Gründer der New Yorker Beratungsfirma Unit 221B und ursprünglicher Gründer von I2P, nannte gegenüber KrebsOnSecurity dagegen eine Größe von 15.000 bis 20.000 Geräten pro Tag. Eine von Nutzern geteilte Grafik zeigte zehntausende Router – überwiegend aus den USA –, die plötzlich beizutreten versuchten.

Benjamin Brundage, Gründer des Start-ups Synthient, das Proxy-Dienste verfolgt und Kimwolfs Verbreitungstechniken als Erster dokumentierte, ordnet das Vorgehen ein: Die Betreiber experimentierten mit I2P und dem ähnlichen Anonymisierungsnetz Tor als Ausweich-Steuerungsinfrastruktur. Weitreichende Störungen im Tor-Netz seien zuletzt nicht gemeldet worden. Ziel sei nicht die Abschaltung von I2P, sondern eine Alternative, um das Botnet trotz Abschaltversuchen stabil zu halten.

Bereits Ende des vergangenen Jahres hatte Kimwolf Cloudflare beschäftigt: Millionen infizierter Geräte wurden angewiesen, die DNS-Einstellungen von Cloudflare zu nutzen, wodurch Kimwolf-Steuerdomains in Cloudflares öffentlicher Rangliste der meistabgefragten Websites wiederholt Amazon, Apple, Google und Microsoft verdrängten.

Laut James läuft I2P noch mit etwa der Hälfte seiner üblichen Kapazität; eine neue Version werde ausgerollt, die in der kommenden Woche Stabilitätsverbesserungen bringen soll. Brundage zufolge haben sich die Kimwolf-Betreiber kürzlich offenbar einige ihrer fähigeren Entwickler und Operateure entfremdet – ein Anfängerfehler ließ die Zahl der infizierten Systeme um mehr als 600.000 sinken. Sie schienen schlicht in der Produktivumgebung zu experimentieren und nicht recht zu wissen, was sie täten.