加拿大当局周三逮捕了一名23岁的渥太华男子,他涉嫌创建并运营名为“Kimwolf”的物联网僵尸网络。该僵尸网络传播迅速,在过去六个月中控制了数百万台设备,并利用其发动了一系列大规模分布式拒绝服务(DDoS)攻击。KrebsOnSecurity网站于2026年2月公开了这名嫌疑人的姓名,此前该嫌疑人曾对本文作者和一名安全研究人员发起了一系列DDoS攻击、人肉搜索和虚假报警攻击。目前,他面临加拿大和美国的刑事黑客指控。
今天,阿拉斯加地方法院公布了一份刑事诉状,指控加拿大渥太华居民雅各布·巴特勒(Jacob Butler ,又名“ Dort ”)运营Kimwolf DDoS僵尸网络。美国司法部发表声明称,在巴特勒根据美国引渡令在加拿大被安大略省警方逮捕后,针对他的诉状被公布。巴特勒目前被加拿大警方拘留,等待定于下周初举行的首次庭审。
政府称,金沃尔夫的目标是那些通常被防火墙隔离、无法直接访问互联网的设备,例如数码相框和网络摄像头。这些受感染的系统随后被租借给其他网络犯罪分子,或被迫参与破坏纪录的DDoS攻击,以及影响国防部互联网地址段的攻击。因此,国防部刑事调查局正在安克雷奇联邦调查局外勤办事处的协助下调查此案。
美国司法部声明称:“KimWolf与DDoS攻击有关,这些攻击的流量接近每秒30太比特,创下了DDoS攻击流量的新纪录。这些攻击造成了经济损失,部分受害者的损失超过一百万美元。据称,KimWolf僵尸网络发出了超过25000条攻击指令。”
3 月 19 日,美国当局与国际执法伙伴联手查封了 Kimwolf 和其他三个大型 DDoS 僵尸网络(分别名为Aisuru 、 JackSkid和Mossad )的技术基础设施,这些僵尸网络都在争夺同一批易受攻击的设备。
2月28日,KrebsOnSecurity通过挖掘巴特勒的多个电子邮件地址、网络犯罪论坛注册信息以及他在Telegram和Discord公共服务器上的帖子,确认他就是Kimwolf僵尸网络的幕后主使。然而,多特继续威胁和骚扰那些帮助追踪到他真实身份并大幅减缓其僵尸网络传播的研究人员。
多特声称对至少两起针对Synthient创始人发起的“钓鱼执法”攻击负责。Synthient是一家安全初创公司,曾帮助修复一个广泛存在的严重安全漏洞,而Kimwolf正是利用该漏洞以比其他任何物联网僵尸网络都更快、更有效地传播病毒。今天,司法部对包括Synthient在内的多家科技公司表示感谢。Synthient的创始人本·布伦戴奇告诉KrebsOnSecurity网站,他对巴特勒被拘留感到欣慰。
“希望这能结束骚扰行为,”布伦戴奇说。
以下摘自对巴特勒的刑事诉讼,详细描述了他如何下令对安保公司 Synthient 的创始人本·布伦戴奇进行虚假报警攻击。
政府称,调查人员通过法律程序获取的IP地址、在线账户信息、交易记录和在线通讯应用记录,将巴特勒与KimWolf僵尸网络的管理联系起来。 针对巴特勒的刑事诉状(PDF)显示,他几乎没有采取任何措施来区分其现实生活中的身份和网络犯罪身份(我们在2月份揭露多特身份的报道中已经证实了这一点)。
今年4月,美国司法部与欧洲各地执法部门联合查封了近40个与DDoS攻击服务相关的域名,但由于官僚机构的疏忽,查封域名的清单至今仍未公开。司法部表示,其中至少有一家服务与巴特勒的Kimwolf僵尸网络存在合作。
安大略省警局发表声明称,3月19日,警方对巴特勒位于渥太华的住所执行了搜查令,并查获了多台电子设备。经调查,巴特勒于本周被捕,并被控未经授权使用计算机;持有用于非法使用计算机系统或实施破坏的设备;以及破坏计算机数据。他将被继续羁押,直至5月26日出庭受审。
在美国,巴特勒面临一项协助和教唆计算机入侵的指控。如果被引渡到美国,并在美国法院受审定罪,巴特勒可能面临最高10年监禁,但根据美国量刑指南,最高刑期可能会大幅缩短,因为该指南会考虑诸如年龄、无犯罪记录以及与调查人员的合作程度等减刑因素。