Richterin Catherine Kane genehmigte den Beschluss am 1. Mai 2024, verlängerte ihn im August desselben Jahres und legte die vertrauliche Begründung im Februar 2026 vor. Öffentlich blieb die Anordnung mehr als zwei Jahre unter Verschluss, bis in diesem Monat eine geschwärzte Fassung erschien. CSIS brauchte diese Erlaubnis, weil die geplante Bereinigung ohne richterliche Anordnung voraussichtlich strafbar gewesen wäre: Das Eindringen in fremde Geräte und das Löschen von Daten würde nach dem Strafgesetzbuch als Computer-Sabotage gelten.

Nach Darstellung des Gerichts zielte die Maßnahme auf in Kanada befindliche Server, kleine Büro- und Heimrouter sowie IoT-Geräte. Die beiden Botnetze arbeiteten demnach mit einem üblichen Relais-Modell: Eine Kommandoebene gab Befehle aus, eine Schicht infizierter Geräte leitete den Datenverkehr weiter. Indem der Verkehr über gekaperte Hardware in Kanada lief, konnten ausländische Staaten ihre Aktivitäten wie normale Verbindungen, Heimarbeitszugänge oder Anschlüsse von Internetkunden erscheinen lassen, während sie kritische Infrastruktur sowie Regierungs- und Militärnetze sondierten.

Das Gericht verweist dabei ausdrücklich auch auf den Energiesektor als Ziel. Es warnte, die Gegenspieler könnten die Botnetze anweisen, kanadische Infrastruktur zu erkunden und möglicherweise zu stören. Für die Besitzer der kompromittierten Geräte hatte das eine weitere Folge: Wer etwa eine infizierte Türklingel betrieb, konnte nach außen wie der Urheber von Datenverkehr erscheinen, den er nie selbst gesendet hatte.

Die öffentliche Entscheidung beantwortet laut Bericht von The Bureau das „Was“, lässt aber das „Wer“ offen. Festgestellt sei lediglich, dass zwei ausländische Gegner beteiligt waren und eine Bedrohung für Kanadas Sicherheit vorlag. Wegen der Schwärzungen lasse sich aus der Begründung nicht erkennen, ob beide Botnetze China zuzuordnen waren, beide Russland oder jeweils eines den beiden Staaten. Dass staatliche Akteure dahinterstanden, ist demnach Teil der gerichtlichen Feststellung; welche Staaten genau gemeint sind, bleibt verborgen.

Zeitlich und methodisch fällt der Vorgang in eine Phase ähnlicher, gerichtlich angeordneter Botnetz-Bereinigungen in den USA. Bei einer Operation im Dezember 2023 nutzte das FBI den eigenen Steuerungskanal des Botnetzes, um die Malware des KV-botnet von Hunderten US-amerikanischen SOHO-Routern zu löschen, überwiegend ausgemusterte Geräte von Cisco und NetGear. Diese Infrastruktur nutzte die China zugeschriebene Gruppe Volt Typhoon laut Quelle, um Zugänge zu verbergen, die sie für eine mögliche Krise in amerikanischen Kommunikations-, Energie-, Wasser- und Verkehrssystemen vorbereitet hatte.

Wenige Wochen später folgte in den USA eine nahezu identische Aktion gegen ein separates Netzwerk von Ubiquiti-Routern, das Russlands GRU mit der Gruppe APT28 in ein Spionage-Relais verwandelt hatte. Kanadas Cyberzentrum hatte sich zuvor den Warnungen der Verbündeten angeschlossen, dass staatliche Akteure SOHO- und IoT-Geräte missbrauchen. Der Unterschied liegt nun vor allem in der Rechtsgrundlage: In den USA handelten FBI und Justizministerium im Rahmen von Durchsuchungs- und Beschlagnahmebefugnissen, in Kanada setzte ein Geheimdienst erstmals aktiv seine im CSIS Act verankerten und im National Security Act, 2017 überarbeiteten Befugnisse zur Gefahrenminderung ein; diese Reform trat 2019 in Kraft.

Offen bleibt nach Darstellung von The Bureau ein weiterer Punkt: Der Antrag soll sich auf IP-Adressen gestützt haben, die CSIS einige Wochen nach dem Urteil des Obersten Gerichtshofs Kanadas in der Sache R. v. Bykovets ohne richterliche Anordnung erhoben hatte. Dort hatte das Gericht entschieden, dass für IP-Adressen eine berechtigte Privaterwartung besteht. Ob dieses Vorgehen mit den Erhebungsbefugnissen von CSIS vereinbar war und ob die Besitzer der bereinigten Geräte jemals informiert wurden, beantwortet die veröffentlichte Entscheidung nicht.