涉嫌运营 Kimwolf 僵尸网络的‘Dort’被捕，在美国和加拿大被起诉

<p>加拿大当局周三逮捕了一名 23 岁的渥太华男子，怀疑他构建并运营了 <strong>Kimwolf</strong>——一个快速传播的物联网僵尸网络，在过去六个月内奴役了数百万台设备，用于发动一系列大规模分布式拒绝服务（DDoS）攻击。KrebsOnSecurity 在 2026 年 2 月公开指认了这名嫌疑人，此前他对本文作者及一名安全研究员发起了多轮 DDoS、人肉搜索和虚假报警攻击。他现在在加拿大和美国均面临刑事黑客指控。</p> <p>今天在阿拉斯加地区法院解封的一份刑事起诉书指控加拿大渥太华的 <strong>Jacob Butler</strong>（又名“<strong>Dort</strong>”）运营 Kimwolf DDoS 僵尸网络。司法部的一份<a href="https://www.justice.gov/usao-ak/pr/canadian-man-arrested-international-authorities-charged-administrating-kimwolf-ddos" target="_blank" rel="noopener">声明</a>称，对 Butler 的起诉书是在被告被 <strong>安大略省警察局</strong> 根据美国引渡令在加拿大逮捕后解封的。Butler 目前被加拿大羁押，等待定于下周初举行的首次庭审。</p> <p>政府表示，Kimwolf 针对的是传统上被“防火墙”隔离于互联网之外的感染设备，如数码相框和网络摄像头。这些被感染的系统随后被出租给其他网络罪犯，或被强迫参与破纪录的 DDoS 攻击，以及影响 <strong>国防部</strong> IP 地址范围的攻击。因此，国防部的 <strong>国防刑事调查局</strong> 正在调查此案，并得到联邦调查局安克雷奇办事处的协助。</p> <p>“KimWolf 与测速接近每秒 30 太比特的 DDoS 攻击有关，这是有记录以来 DDoS 攻击流量的最高纪录，”司法部声明写道。“这些攻击导致部分受害者经济损失超过一百万美元。据称 KimWolf 僵尸网络下达了超过 25,000 次攻击指令。”</p> <p>3 月 19 日，美国当局与国际执法伙伴合作，<a href="https://krebsonsecurity.com/2026/03/feds-disrupt-iot-botnets-behind-huge-ddos-attacks/" target="_blank" rel="noopener">查封了 Kimwolf</a> 及其他三个大型 DDoS 僵尸网络——<strong>Aisuru</strong>、<strong>JackSkid</strong> 和 <strong>Mossad</strong>——的基础设施，这些僵尸网络都在争夺同一批易受攻击的设备。</p> <p>2 月 28 日，KrebsOnSecurity 在深入调查其多个电子邮件地址、在网络犯罪论坛的注册记录以及公开 Telegram 和 Discord 服务器上的帖子后，<a href="https://krebsonsecurity.com/2026/02/who-is-the-kimwolf-botmaster-dort/" target="_blank" rel="noopener">确认 Butler 就是 Kimwolf 僵尸网络的主人</a>。然而，Dort 继续威胁和骚扰帮助追踪其真实身份并显著减缓僵尸网络传播的研究人员。</p> <p>Dort 声称对至少两次针对 <strong>Synthient</strong> 创始人的虚假报警攻击负责，Synthient 是一家安全初创公司，曾帮助<a href="https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/" target="_blank" rel="noopener">修复了一个广泛存在的严重安全漏洞</a>，Kimwolf 正是利用该漏洞比其他物联网僵尸网络传播得更快更有效。Synthient 是今天司法部感谢的众多科技公司之一，其创始人 <strong>Ben Brundage</strong> 告诉 KrebsOnSecurity，他对 Butler 被拘留感到欣慰。</p> <p>“希望这能结束骚扰，”Brundage 说。</p> <div id="attachment_73665" style="width: 758px" class="wp-caption aligncenter"><img aria-describedby="caption-attachment-73665" decoding="async" class="wp-image-73665" src="https://krebsonsecurity.com/wp-content/uploads/2026/05/dortswat-doj.png" alt="" width="748" height="623" srcset="https://krebsonsecurity.com/wp-content/uploads/2026/05/dortswat-doj.png 976w, https://krebsonsecurity.com/wp-content/uploads/2026/05/dortswat-doj-768x640.png 768w, https://krebsonsecurity.com/wp-content/uploads/2026/05/dortswat-doj-782x651.png 782w" sizes="(max-width: 748px) 100vw, 748px" /><p id="caption-attachment-73665" class="wp-caption-text">对 Butler 的刑事起诉书节选，详细说明了他如何下令对安全公司 Synthient 创始人 Ben Brundage 进行虚假报警攻击。</p></div> <p><span id="more-73656"></span></p> <p>政府表示，调查人员通过 IP 地址、在线账户信息、交易记录以及通过法律程序获取的在线消息应用记录，将 Butler 与 KimWolf 僵尸网络的管理联系起来。对 Butler 的<a href="https://krebsonsecurity.com/wp-content/uploads/2026/05/USA-v-Butler-Redacted-Affidavit-of-Criminal-Complaint-3_26_mj_00229_MMS.pdf" target="_blank" rel="noopener">刑事起诉书</a>（PDF）显示，他几乎没有将自己的现实身份与网络犯罪身份分开（这一点我们在 2 月份揭露 Dort 时已证明）。</p> <p>4 月，司法部与欧洲各地当局合作，<a href="https://www.justice.gov/usao-ak/pr/us-authorities-conduct-cyber-operations-part-global-crackdown-ddos-hire-services" target="_blank" rel="noopener">查封了与近 50 个 DDoS 租赁服务相关的域名</a>，但由于行政混乱，被查封的域名列表至今才解封。司法部表示，至少有一项此类服务与 Butler 的 Kimwolf 僵尸网络合作。</p> <p>安大略省警察局的一份声明称，3 月 19 日对 Butler 在渥太华的住所执行了搜查令，并扣押了多台设备。作为调查结果，Butler 本周被捕并被指控未经授权使用计算机、持有设备以未经授权使用计算机系统或实施恶作剧，以及与计算机数据相关的恶作剧。他预计将被拘留至 5 月 26 日的听证会。</p> <p>在美国，Butler 面临一项协助和教唆计算机入侵的指控。如果被引渡、审判并在美国法院定罪，Butler 可能面临最高 10 年监禁，不过这一最高刑期很可能因《美国量刑指南》中的考量而大幅减轻，该指南允许考虑减轻因素，如年轻、无犯罪前科以及配合调查的程度。</p>