Nach Darstellung des DoJ verschafften sich die Betreiber Zugriff auf Geräte, die normalerweise durch eine Firewall vom übrigen Internet abgeschottet sind. Die gekaperten Geräte wurden in die Botnetze eingegliedert; anschließend verkauften die Betreiber den Zugang nach einem “Cybercrime-as-a-Service”-Modell an andere Kriminelle weiter. Gerichtsdokumente werfen den vier Mirai-Varianten vor, Hunderttausende DDoS-Angriffsbefehle abgesetzt zu haben.

Cloudflare hatte in einem Bericht im vergangenen Monat den Angriff mit 31,4 Tbps auf AISURU/Kimwolf zurückgeführt. Gegen Jahresende war das Botnetz zudem für eine Reihe hypervolumetrischer Angriffe mit durchschnittlich drei Milliarden Paketen pro Sekunde, 4 Tbps und 54 Millionen Anfragen pro Sekunde verantwortlich. Das maximale Angriffsvolumen der kombinierten Botnetze beschrieb Cloudflare als gleichbedeutend damit, dass “die Bevölkerungen Großbritanniens, Deutschlands und Spaniens zusammen gleichzeitig eine Webadresse eintippen und in derselben Sekunde Enter drücken”.

Kimwolf wurde erstmals im Dezember 2025 von XLab dokumentiert und soll mehr als zwei Millionen Android-Geräte erfasst haben, überwiegend kompromittierte No-Name-Smart-TVs und Set-Top-Boxen. Es gilt als Android-Variante des seit mindestens August 2024 aktiven Botnetzes AISURU. Tom Scholl von AWS bezeichnete Kimwolf als grundlegende Verschiebung in der Funktionsweise von Botnetzen: Statt das offene Internet nach verwundbaren Geräten abzusuchen, nutze es Wohn-Proxynetze aus und gelange so über kompromittierte Geräte in Heimnetze, die sonst durch Router von außen geschützt sind.

Der unabhängige Sicherheitsjournalist Brian Krebs verfolgte den Administrator von Kimwolf zu einem 23-jährigen Jacob Butler (alias Dort) aus Ottawa, Kanada. Butler erklärte gegenüber Krebs, er nutze die Dort-Identität seit 2021 nicht mehr; jemand gebe sich nach der Übernahme seines alten Kontos für ihn aus. Er bleibe meist zu Hause und helfe seiner Mutter im Haushalt, da ihm Autismus und soziale Interaktion zu schaffen machten. Als weiteren Hauptverdächtigen nennt Krebs einen 15-Jährigen aus Deutschland.

Lumen Black Lotus Labs gab an, fast 1.000 der von AISURU und später Kimwolf genutzten C2-Server per Null-Routing stillgelegt zu haben. JackSkid zählte in den ersten beiden Märzwochen 2026 im Schnitt über 150.000 Opfer pro Tag und erreichte am 8. März 250.000; Mossad kam im selben Zeitraum auf durchschnittlich über 100.000 tägliche Opfer. Sicherheitsforscher Ryan English erklärte, Kimwolf habe sich als außergewöhnlich widerstandsfähig erwiesen, und mehrere neue Botnetze hätten begonnen, dieselbe Technik nachzuahmen, um sehr schnell sehr groß zu werden.

XLab stellte den Ermittlern nach eigenen Angaben Sample-Hashes, entschlüsselte C2-Konfigurationen und Screenshots von DDoS-Angriffen als Beweismittel bereit. Akamai bezifferte die Angriffe der Botnetze auf über 30 Tbps, 14 Milliarden Pakete pro Sekunde und 300 Millionen Anfragen pro Sekunde; in einigen Fällen hätten die Täter damit Erpressungszahlungen gefordert. Solche Angriffe könnten laut Akamai zentrale Internet-Infrastruktur lahmlegen, bei Internetanbietern und deren Kunden erhebliche Beeinträchtigungen verursachen und selbst leistungsfähige Cloud-Schutzdienste überlasten.