涉嫌Kimwolf僵尸网络主谋'Dort'在美加被捕Alleged Kimwolf Botmaster ‘Dort’ Arrested, Charged in U.S. and Canada

加拿大当局周三逮捕了一名23岁的渥太华男子，因涉嫌构建并运营名为Kimwolf的快速传播的物联网僵尸网络。该网络在过去六个月中奴役数百万设备，用于发起一系列大规模分布式拒绝服务（DDoS）攻击。2026年2月，在被告针对作者和一名安全研究人员发起DDoS、人肉搜索和SWAT攻击后，KrebsOnSecurity公开指认了嫌疑人。他现在面临加拿大和美国的刑事黑客指控。

今日阿拉斯加地区法院解封的起诉书指控加拿大渥太华的雅各布·巴特勒（又名“Dort”）运营Kimwolf DDoS僵尸网络。司法部声明称，巴特勒的起诉书依据美国引渡令由安大略省警方逮捕后解封，目前他正被加拿大羁押，等待下周初的首次听证会。

政府表示，Kimworm感染的设备通常是传统上“防火墙”保护的联网设备，如数字相框和网络摄像头。这些被感染系统随后被出租给其他网络犯罪分子，或被迫参与创纪录规模的DDoS攻击，甚至影响了国防部的互联网地址范围。因此，国防部刑事调查局正在配合安克雷奇FBI分局调查此案。

“KimWolf与每秒近30太比特的DDoS攻击相关，创下记录规模。”司法部声明写道。“这些攻击导致部分受害者损失超过100万美元。KimWolf僵尸网据称发出了超过2.5万次攻击指令。”

3月19日，美国当局与国际执法伙伴联合查封了Kimwolf及其他三个大型DDoS僵尸网（Aisuru、JackSkid和Mossad）的技术基础设施——它们均争夺同一批脆弱设备资源。

2月28日，KrebsOnSecurity通过分析其多个电子邮箱、网络犯罪论坛注册信息及Telegram和Discord服务器帖子，确认Butler为Kimwolf幕后主使。然而，Dort继续威胁骚扰协助追踪其真实身份的研究人员，并大幅减缓僵尸网络扩散速度。

Dort至少对两家安全初创公司Synthient创始人发起SWAT攻击负责——该公司曾揭露Kimwolf利用的关键漏洞，使其传播速度远超其他物联网僵尸网络。司法部今日致谢多家科技企业，Synthient创始人本·布鲁德吉向KrebsOnSecurity表示，得知巴特勒被捕后感到宽慰。

“希望这能终结骚扰，”布鲁德吉说。

节选自巴特勒起诉书，详细描述其如何命令对Synthient安全公司创始人本·布鲁德吉发起SWAT攻击。

政府称，调查人员通过法律程序获取的IP地址、在线账户信息、交易记录及网络通讯应用记录，将Butler与KimWolf僵尸网络的运营关联在一起。针对Butler的刑事起诉书（PDF）显示，他极少在现实身份与网络犯罪身份之间加以区分（这一点我们在2月曝光Dort事件时已有所体现）。

4月，司法部联合欧洲多国当局查封了近40个“DDoS攻击即服务”域名，但因行政流程疏漏，被查封域名清单直至今日才公开。司法部表示，其中至少一个服务与Butler的KimWolf僵尸网络存在合作。

安大略省警方声明称，3月19日对渥太华Butler住所执行搜查令，查获多台设备。此次调查导致Butler本周被捕，被控罪名包括未经授权使用计算机、持有用于非法侵入计算机系统或实施破坏的设备、以及计算机数据相关破坏罪。他将于5月26日听证前继续羁押。

在美国，Butler面临一项协助教唆计算机入侵的指控。若被引渡并在美国受审定罪，其最高刑期为10年，但根据《美国联邦量刑指南》考虑年龄、无前科及配合调查等减轻因素后，实际刑期可能大幅缩减。