Laut Gerichtsunterlagen wurde Butler über eine IP-Adresse, Online-Kontodaten sowie Discord-Nachrichten mit der Administration des Kimwolf-Botnets in Verbindung gebracht. Die fraglichen Nachrichten stammen demnach von einem Account namens „resi[.]to".
Dass Butler hinter Kimwolf stehen soll, machte zuerst der unabhängige Sicherheitsjournalist Brian Krebs öffentlich. Butler erklärte damals, er habe das Pseudonym „Dort" seit 2021 nicht mehr genutzt; eine andere Person gebe sich nach der Übernahme seines alten Accounts für ihn aus.
Die Anklage folgt auf eine gerichtlich genehmigte Strafverfolgungsoperation, bei der US-Behörden zusammen mit Kanada und Deutschland die Command-and-Control-Infrastruktur (C2) der Botnets Kimwolf, AISURU, JackSkid und Mossad ausgeschaltet hatten. Nach Angaben des DoJ soll Kimwolf mehr als 25.000 Angriffsbefehle ausgegeben haben.
Vor ihrer Abschaltung wurden die Botnets AISURU und Kimwolf einigen der bislang größten gemessenen DDoS-Angriffe zugeschrieben. Dabei wurden Ziele mit Datenmüll überflutet, dessen Spitzenwert bei 31,4 Terabit pro Sekunde (Tbps) lag.
Neben Butlers Festnahme wurden Beschlagnahmebeschlüsse offengelegt, die sich gegen Online-Dienste hinter 45 sogenannten DDoS-for-Hire-Plattformen richten. Auf dieser Grundlage konnten die Strafverfolger die Plattformen ausschalten; eine davon soll mit Kimwolf zusammengearbeitet haben.
Butler ist in einem Anklagepunkt der Beihilfe zum Computereinbruch angeklagt. Im Fall einer Verurteilung drohen ihm bis zu zehn Jahre Haft.
