Kimwolf hatte vor allem dadurch Aufmerksamkeit erregt, dass es Netzwerke von Wohn-Proxys (residential proxies) missbrauchte, um sich auszubreiten, und dabei rund zwei Millionen Geräte unter seine Kontrolle brachte. Sowohl Kimwolf als auch sein Vorgänger Aisuru wurden mit einem rekordverdächtigen DDoS-Angriff in Verbindung gebracht, der mit einer Spitzenlast von 31,4 Terabit pro Sekunde einen neuen Höchstwert erreichte.
Die Festnahme fügt sich in eine bereits im März begonnene Operation ein. Damals hatte das US-Justizministerium die Zerschlagung mehrerer IoT-Botnetze verkündet, die für DDoS-Angriffe eingesetzt wurden. Kimwolf wurde dabei als der auf Android-Geräte spezialisierte Nachfolger von Aisuru beschrieben, das ebenfalls Ziel der Behörden war.
Bereits bei der damaligen Bekanntgabe hatte das DoJ erklärt, dass auch Strafverfolgungsbehörden in Kanada und Deutschland gegen Administratoren und Infrastruktur der Botnetze vorgegangen seien. Ob dabei Festnahmen erfolgten, ließ das Ministerium zunächst offen. Butler könnte zu den Personen gehören, gegen die seinerzeit in Kanada ermittelt wurde.
Nach Darstellung des Justizministeriums verknüpften die Ermittler Butler über eine IP-Adresse, Online-Kontoinformationen, Transaktionsaufzeichnungen und Aufzeichnungen aus einer Messaging-Anwendung mit der Administration des Botnetzes. Diese Daten seien im Rahmen rechtlicher Verfahren erlangt worden.
Parallel zur Festnahme gab das DoJ bekannt, dass der Central District of California Beschlagnahmebeschlüsse entsiegelt habe, die auf Online-Dienste zur Unterstützung von 45 sogenannten „DDoS-for-hire"-Plattformen – also kommerziellen Angeboten für gemietete DDoS-Angriffe – abzielten. Durch diese Beschlagnahmen seien die Plattformen umfassend gestört worden, darunter mindestens eine, die mit Butlers Kimwolf-Botnetz zusammengearbeitet habe.
