Nach Darstellung der US-Behörden zielte Kimwolf auf infizierte Geräte ab, die üblicherweise durch eine Firewall vom restlichen Internet abgeschirmt sind, etwa digitale Bilderrahmen und Webcams. Die übernommenen Systeme wurden anschließend an andere Cyberkriminelle vermietet oder zu DDoS-Angriffen herangezogen. Betroffen waren dabei auch Internet-Adressbereiche des US-Verteidigungsministeriums (Department of Defense). Aus diesem Grund ermittelt der Defense Criminal Investigative Service des Verteidigungsministeriums in dem Fall, unterstützt vom FBI-Büro in Anchorage.
„Kimwolf wurde mit DDoS-Angriffen in Verbindung gebracht, die mit nahezu 30 Terabit pro Sekunde gemessen wurden – ein Rekord im erfassten Angriffsvolumen", heißt es in der Erklärung des Justizministeriums. Bei einigen Opfern hätten die Angriffe finanzielle Schäden von mehr als einer Million Dollar verursacht. Dem Botnetz werden mehr als 25.000 Angriffsbefehle zur Last gelegt.
Im März beteiligten sich US-Behörden gemeinsam mit internationalen Strafverfolgungspartnern an der Beschlagnahme der technischen Infrastruktur von Kimwolf sowie drei weiterer großer DDoS-Botnetze – Aisuru, JackSkid und Mossad –, die um denselben Bestand verwundbarer Geräte konkurrierten.
Ende Februar hatte KrebsOnSecurity Butler als den Betreiber von Kimwolf identifiziert, nachdem dessen E-Mail-Adressen, Registrierungen in einschlägigen Cybercrime-Foren sowie Beiträge in öffentlichen Telegram- und Discord-Servern ausgewertet worden waren. Dennoch bedrohte und schikanierte „Dort" weiterhin die Forscher, die zur Aufdeckung seiner Identität beigetragen und die Ausbreitung seines Botnetzes deutlich verlangsamt hatten.
„Dort" bekannte sich zu mindestens zwei Swatting-Angriffen gegen den Gründer von Synthient, einem Sicherheits-Start-up, das half, eine weitverbreitete kritische Sicherheitslücke zu schließen, über die sich Kimwolf schneller und wirksamer ausbreitete als jedes andere IoT-Botnetz. Synthient gehörte zu den vom Justizministerium ausdrücklich genannten Unternehmen. Gründer Ben Brundage erklärte gegenüber KrebsOnSecurity, er sei erleichtert über die Festnahme: „Hoffentlich endet damit die Belästigung."
Nach Angaben der Ermittler ließ sich Butler über IP-Adressen, Kontodaten, Transaktionsunterlagen und Aufzeichnungen von Messenger-Diensten mit der Verwaltung des Botnetzes in Verbindung bringen; die Daten wurden auf rechtlichem Wege erlangt. Die Anklageschrift zeigt, dass er kaum versuchte, seine reale Identität von der kriminellen zu trennen.
Im April beteiligte sich das US-Justizministerium gemeinsam mit europäischen Behörden an der Beschlagnahme von Domainnamen, die mit fast vier Dutzend DDoS-Mietdiensten verbunden waren. Wegen eines bürokratischen Versehens blieb die Liste der beschlagnahmten Domains bis heute unter Verschluss. Mindestens einer dieser Dienste habe mit Butlers Botnetz zusammengearbeitet.
Die Ontario Provincial Police teilte mit, im März sei an Butlers Adresse in Ottawa ein Durchsuchungsbeschluss vollstreckt und mehrere Geräte sichergestellt worden. In Kanada wird ihm unbefugte Computernutzung, der Besitz von Geräten zum unbefugten Zugriff auf Computersysteme oder zur Begehung von Sachbeschädigung sowie Sachbeschädigung in Bezug auf Computerdaten vorgeworfen. Er soll bis zu einer Anhörung am 26. Mai in Haft bleiben.
In den USA wird Butler in einem Anklagepunkt die Beihilfe zum Computereinbruch vorgeworfen. Im Fall einer Auslieferung und Verurteilung drohen ihm bis zu zehn Jahre Haft – ein Strafmaß, das nach den US-Strafzumessungsrichtlinien jedoch durch mildernde Umstände wie jugendliches Alter, fehlende Vorstrafen und Kooperationsbereitschaft deutlich gemindert werden dürfte.
