Le autorità di Stati Uniti e Canada hanno arrestato e incriminato Jacob Butler, 23enne canadese noto online con l’alias Dort, accusato di aver gestito la botnet Kimwolf che ha compromesso quasi due milioni di dispositivi nel mondo. L’arresto è avvenuto a Ottawa sulla base di un mandato di estradizione americano mentre il Dipartimento di Giustizia degli Stati Uniti ha reso pubblica la denuncia penale nel Distretto dell’Alaska. Gli investigatori collegano Butler alla gestione della botnet attraverso indirizzi IP, transazioni online, dati di account digitali e messaggi Discord associati all’account resi.to. L’operazione rappresenta uno dei colpi più rilevanti contro il modello cybercrime-as-a-service che trasforma dispositivi domestici e IoT in strumenti per attacchi DDoS su larga scala. La rete Kimwolf, considerata una variante della botnet Aisuru, veniva utilizzata per vendere capacità di attacco a criminali informatici che sfruttavano milioni di dispositivi compromessi per colpire server, aziende e infrastrutture online. L’inchiesta conferma ancora una volta quanto le botnet moderne siano diventate infrastrutture criminali distribuite con capacità operative comparabili a quelle di attori statali o gruppi altamente organizzati.
Cosa leggere
Jacob Butler arrestato a Ottawa su richiesta degli Stati Uniti
Le autorità canadesi hanno eseguito l’arresto di Jacob Butler nella città di Ottawa, dove il giovane viveva prima del fermo. Il mandato di estradizione emesso dagli Stati Uniti ha consentito alle forze dell’ordine canadesi di intervenire rapidamente e trasferire il sospettato in custodia. Butler rimane ora detenuto in Canada in attesa delle procedure di estradizione verso gli Stati Uniti, dove dovrà affrontare il procedimento giudiziario federale. La denuncia penale resa pubblica nel Distretto dell’Alaska descrive nel dettaglio il ruolo attribuito all’imputato nella gestione della botnet Kimwolf e include una lunga serie di prove tecniche e digitali raccolte durante l’indagine. Gli investigatori hanno ricostruito l’infrastruttura operativa della rete attraverso analisi di traffico, correlazioni tra indirizzi IP e attività online riconducibili all’alias Dort. Il caso mostra il livello di cooperazione ormai consolidato tra autorità statunitensi e canadesi nelle indagini contro il cybercrime transnazionale, soprattutto quando vengono coinvolte infrastrutture capaci di colpire migliaia di obiettivi in più paesi contemporaneamente.
Le prove raccolte contro il presunto amministratore della botnet
Secondo gli investigatori, Jacob Butler avrebbe avuto un ruolo diretto nell’amministrazione della botnet e nella vendita dei servizi DDoS collegati all’infrastruttura Kimwolf. Il capo di imputazione riguarda aiuto e istigazione alle intrusioni informatiche, reato che negli Stati Uniti può comportare una pena massima di dieci anni di carcere. Le prove raccolte includono indirizzi IP associati alle attività della rete, informazioni relative agli account usati per controllare l’infrastruttura e registri di transazioni finanziarie che mostrerebbero pagamenti e movimenti economici legati al servizio criminale. Un elemento importante dell’inchiesta riguarda i messaggi pubblicati su Discord dall’account resi.to, ritenuto collegato a Butler. Gli investigatori considerano questi contenuti particolarmente rilevanti perché mostrerebbero dettagli operativi compatibili con la gestione della botnet. Il giornalista investigativo Brian Krebs aveva già collegato Butler all’alias Dort nei mesi precedenti. In risposta alle accuse, Butler aveva sostenuto di non utilizzare più quell’identità online dal 2021 e aveva affermato che qualcuno avesse compromesso il vecchio account. Le autorità ritengono però che le correlazioni tecniche raccolte siano sufficienti a dimostrare il coinvolgimento diretto.
Kimwolf trasformava dispositivi domestici in armi DDoS
La botnet Kimwolf sfruttava un modello operativo ormai tipico del cybercrime moderno. Gli operatori compromettevano dispositivi normalmente presenti in abitazioni o piccole reti aziendali e li trasformavano in nodi controllati a distanza. Tra gli apparati infettati figuravano box TV Android, telecamere web, cornici digitali, registratori video digitali e dispositivi di streaming. Molti di questi sistemi risultavano protetti da firewall domestici e quindi difficili da individuare o raggiungere dall’esterno attraverso scansioni tradizionali. Una volta compromessi, i dispositivi diventavano parte integrante della rete botnet e venivano utilizzati per generare traffico malevolo durante gli attacchi DDoS.
Il modello economico adottato da Kimwolf era basato sul cybercrime-as-a-service. Gli operatori vendevano accesso alla botnet ad altri criminali che potevano acquistare capacità di attacco su richiesta. Questo approccio ha trasformato le botnet in vere piattaforme commerciali clandestine dove utenti con competenze tecniche limitate possono noleggiare infrastrutture capaci di generare enormi volumi di traffico malevolo. Gli investigatori stimano che la rete producesse circa dodici milioni di indirizzi IP unici ogni settimana, una scala operativa sufficiente a sostenere campagne DDoS di altissima intensità contro obiettivi pubblici e privati.
La crescita della botnet ha portato a quasi due milioni di infezioni
I ricercatori di Synthient avevano già documentato l’espansione rapidissima della botnet Kimwolf all’inizio del 2026. La rete aveva raggiunto quasi due milioni di dispositivi infetti grazie allo sfruttamento di vulnerabilità presenti nelle reti di proxy residenziali. Questo metodo permetteva agli operatori di compromettere in massa dispositivi Android e apparati IoT distribuiti in tutto il mondo. Le mappe di infezione realizzate dai ricercatori mostravano una diffusione particolarmente ampia negli Stati Uniti ma con presenza significativa anche in Europa e in altre regioni internazionali.
La botnet non operava in isolamento. Kimwolf risultava collegata ad altre reti criminali come Aisuru, JackSkid e Mossad, tutte coinvolte nella compromissione di dispositivi IoT. Complessivamente le quattro botnet avevano superato i tre milioni di dispositivi compromessi, creando una delle più grandi infrastrutture DDoS osservate negli ultimi anni. L’elevato numero di apparati infetti aumentava la capacità di resilienza della rete e rendeva più difficile neutralizzarne completamente le operazioni. Anche dopo il sequestro di alcune infrastrutture, infatti, le botnet di grandi dimensioni possono continuare a funzionare grazie alla distribuzione geografica dei nodi infetti.
Gli attacchi DDoS hanno raggiunto volumi record superiori ai 30 Tbps
Secondo le autorità e i ricercatori di sicurezza, la botnet Kimwolf è stata utilizzata per lanciare oltre 25.000 attacchi DDoS contro obiettivi globali. Alcune offensive hanno raggiunto picchi di quasi 30 terabit al secondo, mentre altre stime parlano di valori superiori a 31,4 terabit al secondo. Si tratta di livelli di traffico estremamente elevati, sufficienti a mettere in crisi infrastrutture cloud, reti enterprise e provider internet. Gli obiettivi includevano server pubblici, aziende private e indirizzi IP appartenenti alla Department of Defense Information Network statunitense.
Gli attacchi DDoS funzionavano costringendo milioni di dispositivi compromessi a inviare enormi quantità di traffico verso i bersagli selezionati. Il risultato era il blocco dei servizi online e l’impossibilità per gli utenti legittimi di accedere alle risorse colpite. Alcune vittime avrebbero registrato danni economici superiori a un milione di dollari, pari a oltre 917.000 euro. Il caso dimostra quanto le botnet IoT rappresentino ancora oggi una delle minacce più concrete per la disponibilità delle infrastrutture digitali. La combinazione tra dispositivi vulnerabili, connettività diffusa e automazione degli exploit consente infatti di creare reti di attacco con dimensioni enormi e costi operativi relativamente bassi.
L’operazione internazionale di marzo ha colpito l’infrastruttura di comando
L’arresto di Jacob Butler arriva pochi mesi dopo una vasta operazione coordinata tra Stati Uniti, Canada e Germania contro l’infrastruttura di comando delle botnet collegate a Kimwolf. A marzo le autorità avevano sequestrato server e sistemi di controllo utilizzati dalle reti Kimwolf, Aisuru, JackSkid e Mossad, interrompendone parzialmente il funzionamento. L’operazione aveva rappresentato uno dei più importanti interventi internazionali contro botnet IoT degli ultimi anni.
Le autorità avevano anche preso il controllo di numerosi domini utilizzati per offrire servizi DDoS a pagamento. Molti di questi portali vendevano attacchi denial-of-service come se fossero normali servizi online, con pacchetti acquistabili direttamente tramite piattaforme digitali e criptovalute. Dopo il sequestro, i domini sono stati reindirizzati verso pagine ufficiali delle forze dell’ordine che informano i visitatori dell’illegalità delle piattaforme DDoS. Il Dipartimento di Giustizia americano ha confermato che almeno una delle piattaforme sequestrate collaborava direttamente con la botnet Kimwolf. Questo dettaglio rafforza l’idea che l’infrastruttura non fosse semplicemente una rete tecnica ma un vero ecosistema commerciale dedicato al cybercrime.
Kimwolf mostra i rischi crescenti legati ai dispositivi IoT vulnerabili
Il caso Kimwolf evidenzia ancora una volta la fragilità dell’ecosistema IoT globale. Dispositivi apparentemente innocui come telecamere web, cornici digitali o box TV Android possono trasformarsi rapidamente in strumenti per attacchi su scala mondiale quando presentano vulnerabilità non corrette. Molti di questi apparati vengono distribuiti con firmware obsoleti, password deboli o meccanismi di aggiornamento insufficienti. Una volta compromessi, diventano difficili da individuare per gli utenti finali che spesso ignorano completamente l’infezione.
La crescita della botnet dimostra inoltre quanto le reti di proxy residenziali possano amplificare rapidamente il numero di sistemi compromessi. Gli operatori criminali sfruttano questi ambienti per nascondere il traffico malevolo e diffondere malware in modo più efficace. Le operazioni coordinate tra Stati Uniti, Canada e Germania rappresentano un segnale importante nella lotta alle botnet IoT, ma il problema resta strutturale. Finché milioni di dispositivi continueranno a essere connessi senza aggiornamenti regolari e protezioni adeguate, il rischio di nuove infrastrutture DDoS globali rimarrà estremamente elevato.
L’estradizione di Butler potrebbe svelare nuovi dettagli sul cybercrime-as-a-service
Le autorità statunitensi ritengono che l’estradizione di Jacob Butler possa aiutare a comprendere meglio il funzionamento interno della botnet Kimwolf e i collegamenti con altri attori del cybercrime internazionale. Gli investigatori stanno cercando di ricostruire l’intera catena operativa del servizio, inclusi eventuali partner tecnici, intermediari finanziari e clienti che acquistavano accesso agli attacchi DDoS. L’obiettivo non riguarda soltanto il singolo imputato ma l’intero modello economico che alimenta il cybercrime-as-a-service.
La vicenda conferma che il mercato clandestino delle botnet continua a evolversi verso strutture sempre più organizzate e commerciali. Gli operatori non si limitano più a creare malware o compromettere sistemi ma gestiscono vere piattaforme distribuite, vendendo accesso a infrastrutture di attacco globali. Il caso Kimwolf mostra come dispositivi domestici e IoT possano essere trasformati in componenti invisibili di reti criminali capaci di generare attacchi record contro governi, aziende e servizi online critici.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
