Брайан Кребс установил личность хакера под ником Dort, который управляет крупнейшим в мире ботнетом Kimwolf. За псевдонимом скрывается 17-летний канадец Джейкоб Батлер из Оттавы. Его ботнет заразил миллионы устройств и использовался для масштабных кибератак.
В январе 2025 года Кребс опубликовал материал о том, как исследователь безопасности раскрыл уязвимость, которую использовали для создания Kimwolf. В ответ Dort организовал волну DDoS-атак, доксинга и спам-рассылок против журналиста и исследователя, а недавно вызвал спецназ к дому исследователя.
От читера в Minecraft до создателя ботнета
Dort начинал как активный игрок в Minecraft, создавший программу Dortware для читерства в игре. Со временем переключился на серьёзные киберпреступления, включая управление глобальным ботнетом.
Анализ данных OSINT Industries показал, что аккаунт GitHub под именами Dort и CPacket создан в 2017 году с email jay.miner232@gmail.com. Компания Intel 471 обнаружила, что этот же адрес использовался с 2015 по 2019 год для регистрации на хакерских форумах Nulled и Cracked с одного IP-адреса канадского провайдера Rogers.
В 2022 году Dort под ником DortDev был активен в чате группы LAPSUS$ — одной из самых известных хакерских группировок. Продавал сервис регистрации временных email-адресов и инструмент Dortsolver для обхода CAPTCHA, одновременно развивая инфраструктуру своего ботнета.
Партнёрство на $250 тысяч
На Telegram-канале SIM Land, посвящённом краже SIM-карт, Dort работал в паре с хакером Qoft. Вместе они украли игровых аккаунтов Microsoft Xbox Game Pass на сумму свыше $250 000, создавая поддельные учётные записи с краденными данными банковских карт.
«Я просто работаю с Джейкобом», — написал Qoft в 2022 году, ссылаясь на своего партнёра Dort.
Цифровые следы ведут в Оттаву
Сервис Constella Intelligence обнаружил, что пароль от jay.miner232@gmail.com использовался только ещё одним адресом — jacobbutler803@gmail.com. При этом дата рождения Dort по данным 2020 года — август 2003 года, что совпадает с цифрами «803» в email.
Домен jacobbutler803@gmail.com в 2015 году регистрировал Minecraft-сайты на имя Джейкоба Батлера из Оттавы с телефоном 613-909-9727. Один из связанных email-адресов — jbutl3@ocdsb.ca — принадлежит школьному округу Оттавы-Карлтон.
По данным Spycloud, Джейкоб Батлер пользовался компьютером совместно с матерью и братом или сестрой — все их аккаунты связывал пароль «jacobsplugs».
Что это значит для IT: даже самые осторожные киберпреступники, управляющие крупнейшими ботнетами, оставляют цифровые следы. Повторное использование паролей, старые домены и школьные email-адреса позволили связать множество псевдонимов с реальной личностью.
Семья Батлеров не ответила на запросы Кребса о комментариях.