Die Zerschlagung der IoT-Botnetze stellt einen Wendepunkt in der internationalen Cyberkriminalitätsbekämpfung dar. Die Gerichtsakten dokumentieren hundertausende DDoS-Angriffsbefehle, die von den vier Botnet-Varianten ausgegeben wurden. Das Kimwolf-Netzwerk hatte sich als besonders tückisch erwiesen: Das Botnet infizierte mehr als 2 Millionen Android-Geräte, überwiegend preisgünstige Android-Fernseher und Set-Top-Boxen.
Ein faszinierendes Detail: Der damals 23-jährige Jacob Butler aus Ottawa, Kanada, soll als Administrator hinter Kimwolf stehen. Unter dem Pseudonym “Dort” war er lange Zeit in der Cyberkriminalszene aktiv. Gegenüber dem renommierten Sicherheitsjournalisten Brian Krebs bestritt Butler allerdings, noch aktiv zu sein, und behauptete, dass sein alter Account kompromittiert worden sei und jemand sein Profil missbrauche. Ein zweiter Verdächtiger — ein 15-Jähriger aus Deutschland — steht ebenfalls unter Verdacht. Bislang wurden noch keine Festnahmen gemeldet.
Was die technische Dimension betrifft: AISURU ist mindestens seit August 2024 aktiv. Kimwolf wurde erst im Dezember 2025 von Sicherheitsforschern des Unternehmens XLab dokumentiert. Zusammen verursachten diese beiden Botnetze Angriffe mit durchschnittlich 3 Milliarden Paketen pro Sekunde, 4 Terabit pro Sekunde und 54 Millionen Anfragen pro Sekunde.
Das Besondere an Kimwolf: Das Botnet nutzte einen völlig neuen Angriffsvektor. Statt wie traditionelle Botnetze offene Internetverbindungen zu scannen, infiltrierte Kimwolf Heimnetzwerke durch kompromittierte Geräte — insbesondere Smart-TV-Boxen und andere IoT-Komponenten. Damit gewann das Netzwerk Zugriff auf eigentlich durch Home-Router geschützte private Netzwerke.
Die Betreiber betrieben ein sogenanntes “Cybercrime-as-a-Service”-Modell: Sie verkauften Zugriff auf die befallenen Geräte an andere Cyberkriminelle, die daraufhin die DDoS-Attacken durchführten. In einigen Fällen forderten die Angreifer auch Schutzgelderpressungen von ihren Opfern ein.
Die Auswirkungen waren massiv: JackSkid verursachte im März 2026 durchschnittlich über 150.000 tägliche Opfer, am 8. März erreichte das Botnet 250.000 infizierte Systeme pro Tag. Mossad betraf täglich mehr als 100.000 Geräte.
Die beteiligten Unternehmen haben die C2-Infrastruktur systematisch angegriffen. Lumen Black Lotus Labs null-routete fast 1.000 der verwendeten C2-Server. Das Sicherheitsunternehmen warnt jedoch vor einer besorgniserregenden Entwicklung: Nachdem Kimwolf seinen Erfolg bewies, begannen mehrere neue Botnetze, diese Exploitierungstechnik zu imitieren und extrem schnell zu skalieren.
Dies zeigt: Die reine Zerschlagung reicht nicht aus. Solange so viele IoT-Geräte anfällig bleiben — insbesondere günstige Smart-TV-Boxen und Überwachungskameras mit veralteter oder fehlender Sicherheit — wird sich das Problem wiederholen. Die Sicherheitsgemeinschaft muss hier grundlegend ansetzen.