Anfang Januar 2026 deckte KrebsOnSecurity auf, wie ein Sicherheitsforscher eine Schwachstelle offengelegt hatte, die zum Aufbau von **Kimwolf**, dem weltweit größten und störendsten Botnet, genutzt wurde. Seitdem koordiniert die Person, die Kimwolf kontrolliert – bekannt unter dem Alias „**Dort**“ – eine Flut von Distributed-Denial-of-Service (DDoS)-, Doxing- und E-Mail-Flutungsangriffen gegen den Forscher und diesen Autor, und sorgte kürzlich dafür, dass ein SWAT-Team zum Haus des Forschers geschickt wurde. Dieser Beitrag untersucht, was auf Grundlage öffentlich zugänglicher Informationen über Dort bekannt ist. Ein im Jahr 2020 veröffentlichtes öffentliches „Dox“ behauptete, Dort sei ein Teenager aus Kanada (Geburtsdatum August 2003), der die Aliase „**CPacket**“ und „**M1ce**“ verwendete. Eine Suche nach dem Benutzernamen CPacket auf der Open-Source-Intelligence-Plattform **OSINT Industries** ergab ein **GitHub**-Konto unter den Namen Dort und CPacket, das 2017 mit der E-Mail-Adresse **[email protected]** erstellt wurde.  Die Cyber-Intelligence-Firma **Intel 471** gibt an, dass [email protected] zwischen 2015 und 2019 zur Erstellung von Konten auf mehreren Cybercrime-Foren verwendet wurde, darunter **Nulled** (Benutzername „Uubuntuu“) und **Cracked** (Benutzer „Dorted“); Intel 471 berichtet, dass beide Konten von derselben Internetadresse bei Rogers Canada (99.241.112.24) erstellt wurden. Dort war ein äußerst aktiver Spieler im **Microsoft**-Spiel **Minecraft**, der durch seine „**Dortware**“-Software, die Spielern beim Schummeln half, Bekanntheit erlangte. Aber irgendwo auf dem Weg entwickelte sich Dort vom Hacken von Minecraft-Spielen zur Ermöglichung weitaus schwerwiegenderer Verbrechen. Dort nutzte auch den Spitznamen **DortDev**, eine Identität, die im März 2022 auf dem Chat-Server der berüchtigten Cybercrime-Gruppe [LAPSUS$](https://krebsonsecurity.com/tag/lapsus/) aktiv war. Dort bot einen Dienst zur Registrierung temporärer E-Mail-Adressen an, sowie „[Dortsolver](https://pypi.org/project/dort/)“, Code, der verschiedene CAPTCHA-Dienste umgehen konnte, die zur Verhinderung von automatisiertem Account-Missbrauch entwickelt wurden. Beide Angebote wurden 2022 auf **SIM Land**, einem Telegram-Kanal, der sich [SIM-Swapping](https://krebsonsecurity.com/category/sim-swapping/) und Account-Takeover-Aktivitäten widmet, beworben. Die Cyber-Intelligence-Firma **Flashpoint** indizierte 2022 Beiträge auf SIM Land von Dort, die zeigen, dass diese Person die Einweg-E-Mail- und CAPTCHA-Umgehungsdienste mit Hilfe eines anderen Hackers entwickelte, der unter dem Alias „**Qoft**“ bekannt war. „Ich arbeite ehrlich gesagt nur mit Jacob zusammen“, sagte Qoft 2022 als Antwort auf einen anderen Benutzer und bezog sich dabei auf ihren exklusiven Geschäftspartner Dort. In derselben Konversation prahlte Qoft damit, dass die beiden Microsoft Xbox Game Pass-Konten im Wert von über 250.000 US-Dollar gestohlen hätten, indem sie ein Programm entwickelten, das Massen-Game-Pass-Identitäten unter Verwendung gestohlener Zahlungskartendaten erstellte. Wer ist der Jacob, den Qoft als seinen Geschäftspartner bezeichnete? Der Breach-Tracking-Dienst **Constella Intelligence** fand heraus, dass das von [email protected] verwendete Passwort von nur einer weiteren E-Mail-Adresse wiederverwendet wurde: **[email protected]**. Erinnern Sie sich, dass das Dox von Dort aus dem Jahr 2020 besagte, dass ihr Geburtsdatum August 2003 (8/03) sei. Die Suche nach dieser E-Mail-Adresse bei **DomainTools.com** ergab, dass sie 2015 zur Registrierung mehrerer Minecraft-bezogener Domains verwendet wurde, die alle einem Jacob Butler in Ottawa, Kanada, und der Telefonnummer von Ottawa 613-909-9727 zugeordnet waren. Constella Intelligence fand heraus, dass [email protected] 2016 zur Registrierung eines Kontos im Hacker-Forum Nulled sowie des Kontonamens „M1CE“ auf Minecraft verwendet wurde. Die Pivotschwenkung des Passworts, das von ihrem Nulled-Konto verwendet wurde, zeigt, dass es von den E-Mail-Adressen **[email protected]** und **[email protected]** geteilt wurde, wobei letztere eine Adresse unter einer Domain des **Ottawa-Carelton District School Board** ist. Daten, die vom Breach-Tracking-Dienst **Spycloud** indiziert wurden, deuten darauf hin, dass Jacob Butler zu einem Zeitpunkt einen Computer mit seiner Mutter und einem Geschwisterkind teilte, was erklären könnte, warum ihre E-Mail-Konten mit dem Passwort „jacobsplugs“ verbunden waren. Weder Jacob noch andere Mitglieder des Butler-Haushalts reagierten auf Anfragen nach einem Kommentar. Der Open-Source-Intelligence-Dienst **Epieos** fand heraus, dass [email protected] das GitHub-Konto „**MemeClient**“ erstellt hat. Unterdessen indizierte Flashpoint einen gelöschten anonymen Pastebin.com-Beitrag aus dem Jahr 2017, der besagte, dass MemeClient die Kreation eines Benutzers namens CPacket war – einem von Dorts frühen Monikern. ### Der Untergang des Botnets und die Vergeltung Warum ist Dort so wütend? Am 2. Januar veröffentlichte KrebsOnSecurity [The Kimwolf Botnet is Stalking Your Local Network](https://krebsonsecurity.com/2026/01/the-kimwolf-botnet-is-stalking-your-local-network/), das Forschungsergebnisse zum Botnet von **Benjamin Brundage**, Gründer des Proxy-Tracking-Dienstes **Synthient**, untersuchte. Brundage fand heraus, dass die Kimwolf-Botmaster eine wenig bekannte Schwachstelle in Residential-Proxy-Diensten ausnutzten, um schlecht geschützte Geräte – wie TV-Boxen und digitale Bilderrahmen –, die an die internen, privaten Netzwerke von Proxy-Endpunkten angeschlossen waren, zu infizieren. Als diese Geschichte veröffentlicht wurde, waren die meisten anfälligen Proxy-Anbieter von Brundage benachrichtigt worden und hatten die Schwachstellen in ihren Systemen behoben. Dieser Prozess der Schwachstellenbehebung verlangsamte die Verbreitungsfähigkeit von Kimwolf erheblich, und Stunden nach der Veröffentlichung der Geschichte erstellte Dort einen Discord-Server in meinem Namen, der begann, persönliche Informationen und gewalttätige Drohungen gegen Brundage, den Unterzeichner und andere zu veröffentlichen.  Letzte Woche nutzten Dort und Freunde denselben Discord-Server (damals „Krebs’s Koinbase Kallers“ genannt), um einen Swatting-Angriff auf Brundage zu drohen, und veröffentlichten erneut seine Wohnadresse und persönliche Informationen. Brundage sagte KrebsOnSecurity, dass die örtliche Polizei daraufhin sein Haus besuchte, als Reaktion auf einen Swatting-Hoax, der ungefähr zur gleichen Zeit stattfand, als ein anderes Mitglied des Servers ein Tür-Emoji postete und Brundage weiter verhöhnte.  Jemand auf dem Server verlinkte dann zu einem peinlichen (und NSFW) neuen Soundcloud-Diss-Track, der vom Benutzer DortDev aufgenommen wurde und eine angeheftete Nachricht von Dort enthielt: „Ur dead nigga. u better watch ur fucking back. sleep with one eye open. bitch.“ „Es ist ein ziemlich happiger Preis für eine neue Haustür“, intonierte der Diss-Track. „Wenn sein Kopf nicht von SWAT-Beamten zerfetzt wird. Wie ist es, keine Haustür zu haben?“ Mit etwas Glück wird Dort bald in der Lage sein, uns allen genau zu erzählen, wie es ist. **Update, 10:29 Uhr:** Jacob Butler reagierte auf Anfragen nach einem Kommentar und sprach kurzzeitig telefonisch mit KrebsOnSecurity. Butler sagte, er habe frühere Anfragen nach einem Kommentar nicht bemerkt, da er seit 2021 nicht mehr wirklich online gewesen sei, nachdem sein Haus mehrmals überfallen worden sei. Er räumte ein, lange Zeit einen Minecraft-Cheat entwickelt und vertrieben zu haben, sagte aber, er habe das Spiel seit Jahren nicht mehr gespielt und sei nach 2021 nicht mehr an Dortsolver oder anderen Aktivitäten beteiligt gewesen, die dem Dort-Alias zugeschrieben wurden. „Es war ein sehr alter Cheat und ich erinnere mich nicht mehr an seinen Namen“, sagte Butler über seine Minecraft-Modifikation. „Ich bin sehr gestresst, Mann. Ich weiß nicht, ob die Leute mich wieder überfallen werden oder was. Danach habe ich mich praktisch von allem zurückgezogen, mich abgemeldet und gesagt, scheiß drauf. Ich gehe nicht mehr online. Ich weiß ehrlich gesagt nicht, warum die Leute mich immer noch verfolgen.“ Auf die Frage, was er beruflich mache, sagte Butler, er bleibe meistens zu Hause und helfe seiner Mutter im Haushalt, da er mit Autismus und sozialen Interaktionen zu kämpfen habe. Er behauptet, jemand müsse eines oder mehrere seiner alten Konten kompromittiert haben und ihn online als Dort impersonieren. „Jemand impersoniert mich wahrscheinlich wirklich, und jetzt mache ich mir wirklich Sorgen“, sagte Butler. „Das lässt mich alles wieder erleben.“ Aber es gibt