Nach dem Modell „Cybercrime as a Service" verkaufte Butler den Zugang zu einem umfangreichen Netz gekaperter Systeme. Betroffen waren den Behörden zufolge Geräte unterschiedlichster Art – von digitalen Bilderrahmen und Webcams bis hin zu Android-basierten TV-Boxen und Streaming-Geräten.

Das Botnetz kam bei mehr als 25.000 Angriffen auf Computer und Server weltweit zum Einsatz, darunter auch IP-Adressen des Department of Defense Information Network. Einigen Opfern entstanden dadurch finanzielle Schäden von mehr als einer Million Dollar.

Forscher des Sicherheitsunternehmens Synthient, die die rasche Ausbreitung von KimWolf verfolgt haben, berichteten, dass das Botnetz auf fast zwei Millionen Geräte angewachsen sei, nachdem es Android-Geräte über Schwachstellen in Netzwerken für Wohn-Proxys kompromittiert hatte. Wöchentlich erzeugte das Netz demnach rund zwölf Millionen einzelne IP-Adressen.

Parallel dazu veröffentlichte der Bundesgerichtsbezirk Central District of California Beschlagnahmebefehle gegen 45 Plattformen, die DDoS-Angriffe als Dienstleistung anboten. Dadurch wurden mehrere dieser Plattformen ausgeschaltet, darunter mindestens eine, die mit dem KimWolf-Botnetz zusammenarbeitete.

„Diese Beschlagnahmen haben die DDoS-Plattformen in erheblichem Umfang gestört, darunter mindestens eine, die mit Butlers KimWolf-Botnetz kooperierte", erklärte das US-Justizministerium. Die Behörden beschlagnahmten zudem Domain-Einträge zahlreicher dieser Dienste und leiteten sie auf eine autorisierte Hinweisseite um, die Besucher darauf aufmerksam macht, dass DDoS-Dienste illegal sind.

Die Festnahme folgt auf eine internationale Aktion, bei der US-amerikanische, deutsche und kanadische Behörden die Steuerungsinfrastruktur von KimWolf sowie dreier verwandter Botnetze – Aisuru, JackSkid und Mossad – beschlagnahmten. Diese vier Botnetze infizierten nach Angaben des US-Justizministeriums zusammen mehr als drei Millionen IoT-Geräte, darunter Webcams, digitale Videorekorder und WLAN-Router, viele davon in den Vereinigten Staaten.