Quem é o Kimwolf Botmaster “Dort”? – Krebs sobre segurança

No início de janeiro de 2026, KrebsOnSecurity revelou como um pesquisador de segurança divulgou uma vulnerabilidade que foi usada para construir Kimloboa maior e mais disruptiva botnet do mundo. Desde então, a pessoa que controla Kimwolf – que atende pelo controle “Lá“- coordenou uma enxurrada de ataques distribuídos de negação de serviço (DDoS), doxing e inundação de e-mail contra o pesquisador e este autor e, mais recentemente, fez com que uma equipe SWAT fosse enviada à casa do pesquisador. Esta postagem examina o que é conhecido sobre Dort com base em informações públicas.

Um “dox” público criado em 2020 afirmou que Dort era um adolescente do Canadá (DOB, agosto de 2003) que usava os pseudônimos “CPacket” e “M1ce.” Uma pesquisa pelo nome de usuário CPacket na plataforma de inteligência de código aberto Indústrias OSINT encontra um GitHub conta sob os nomes Dort e CPacket que foi criada em 2017 usando o endereço de e-mail jay.miner232@gmail.com.

A empresa de inteligência cibernética Intel 471 diz que jay.miner232@gmail.com foi usado entre 2015 e 2019 para criar contas em vários fóruns de crimes cibernéticos, incluindo Anulado (nome de usuário “Uubuntuu”) e Rachado (usuário “Dortado”); Intel 471 relata que ambas as contas foram criadas a partir do mesmo endereço de Internet na Rogers Canada (99.241.112.24).

Dort era um jogador extremamente ativo no jogo da Microsoft Minecraft que ganharam notoriedade por seus “Dormitório“Software que ajudava os jogadores a trapacear. Mas em algum momento ao longo do caminho, Dort passou de hackear jogos do Minecraft para permitir crimes muito mais sérios.

Dort também usou o apelido DortDevuma identidade que estava ativa em março de 2022 no servidor de bate-papo do prolífico grupo de crimes cibernéticos conhecido como LAPSUS$. Dort vendia um serviço para registrar endereços de e-mail temporários, bem como “Dortsolver“, código que poderia ignorar vários serviços CAPTCHA projetados para evitar abuso automatizado de contas. Ambas as ofertas foram anunciadas em 2022 em Terra SIMum canal do Telegram dedicado à atividade de troca de SIM e aquisição de contas.

A empresa de inteligência cibernética Ponto de inflamação postagens indexadas de 2.022 no SIM Land por Dort que mostram que essa pessoa desenvolveu o e-mail descartável e os serviços de desvio de CAPTCHA com a ajuda de outro hacker que passou pelo identificador “se.”

“Eu simplesmente trabalho com Jacob”, disse Qoft em 2022 em resposta a outro usuário, referindo-se ao seu parceiro de negócios exclusivo Dort. Na mesma conversa, Qoft se gabou de que os dois haviam roubado mais de US$ 250 mil em bens Contas do Microsoft Xbox Game Pass desenvolvendo um programa que criava identidades de Game Pass em massa usando dados de cartões de pagamento roubados.

Quem é o Jacob que Qoft chama de parceiro de negócios? O serviço de rastreamento de violações Constelação Inteligência descobre que a senha usada por jay.miner232@gmail.com foi reutilizada por apenas um outro endereço de e-mail: jacobbutler803@gmail.com. Lembre-se que o dox de Dort de 2020 dizia que sua data de nascimento era agosto de 2003 (03/08).

Pesquisando este endereço de e-mail em DomainTools.com revela que foi usado em 2015 para registrar vários domínios com o tema Minecraft, todos atribuídos a Jacob Butler em Ottawa, Canadá, e ao número de telefone de Ottawa 613-909-9727.

Constella Intelligence descobre que jacobbutler803@gmail.com foi usado para registrar uma conta no fórum de hackers Anulado em 2016, bem como o nome de conta “M1CE” no Minecraft. A desativação da senha usada pela conta anulada mostra que ela foi compartilhada pelos endereços de e-mail jayminer232@gmail.com e jbutl3@ocdsb.casendo este último um endereço em um domínio para o Conselho Escolar do Distrito de Ottawa-Carelton.

Dados indexados pelo serviço de rastreamento de violações Nuvem espiã sugere que a certa altura Jacob Butler compartilhou um computador com sua mãe e um irmão, o que pode explicar por que suas contas de e-mail estavam conectadas à senha “jacobsplugs”. Nem Jacob nem qualquer outro membro da família Butler responderam aos pedidos de comentários.

O serviço de inteligência de código aberto Episódios encontra jacobbutler803@gmail.com criou a conta GitHub “MemeCliente.” Enquanto isso, o Flashpoint indexou uma postagem anônima excluída do Pastebin.com de 2017, declarando que o MemeClient foi a criação de um usuário chamado CPacket – um dos primeiros apelidos de Dort.

Por que Dort está tão bravo? Em 2 de janeiro, KrebsOnSecurity publicou The Kimwolf Botnet is Stalking Your Local Network, que explorou pesquisas sobre o botnet por Benjamin Brundagefundador do serviço de rastreamento de proxy Sintetizante. Brundage descobriu que os botmasters Kimwolf estavam explorando uma fraqueza pouco conhecida nos serviços de proxy residenciais para infectar dispositivos mal protegidos – como caixas de TV e porta-retratos digitais – conectados às redes internas e privadas de terminais de proxy.

No momento em que a história foi ao ar, a maioria dos provedores de proxy vulneráveis ​​foram notificados pela Brundage e corrigiram os pontos fracos em seus sistemas. Esse processo de correção de vulnerabilidade retardou enormemente a capacidade de propagação de Kimwolf e, poucas horas após a publicação da história, Dort criou um servidor Discord em meu nome que começou a publicar informações pessoais e ameaças violentas contra Brundage, Yours Truly e outros.

Dort e amigos se incriminando ao planejar ataques violentos em um servidor público do Discord.

Na semana passada, Dort e amigos usaram o mesmo servidor Discord (então chamado de “Krebs’s Koinbase Kallers”) para ameaçar um ataque violento contra Brundage, postando novamente seu endereço residencial e informações pessoais. Brundage disse ao KrebsOnSecurity que policiais locais posteriormente visitaram sua casa em resposta a uma farsa que ocorreu na mesma época em que outro membro do servidor postou um emoji de porta e provocou ainda mais Brundage.

Dort, usando o pseudônimo “Meow”, provoca o fundador da Synthient, Ben Brundage, com a foto de uma porta.

Alguém no servidor então se conectou a um novo Soundcloud digno de nota (e NSFW) faixa dissimulada gravado pelo usuário DortDev que incluía uma mensagem adesiva de Dort dizendo: “Seu mano morto. É melhor você se cuidar. Durma com um olho aberto. Vadia.”

“É um centavo muito caro para uma nova porta da frente”, entoou a faixa dissimulada. “Se a cabeça dele não for arrancada pelos agentes da SWAT. Como é não ter uma porta de entrada?”

Com alguma sorte, Dort em breve poderá nos contar exatamente como é.

Atualização, 10h29: Jacob Butler respondeu aos pedidos de comentários, conversando brevemente com KrebsOnSecurity por telefone. Butler disse que não percebeu pedidos anteriores de comentários porque não está online desde 2021, depois que sua casa foi atacada várias vezes. Ele reconheceu ter feito e distribuído um cheat do Minecraft há muito tempo, mas disse que não jogava há anos e não estava envolvido com Dortsolver ou qualquer outra atividade atribuída ao apelido Dort após 2021.

“Era um cheat muito antigo e não me lembro o nome dele”, disse Butler sobre sua modificação no Minecraft. “Estou muito estressado, cara. Não sei se as pessoas vão me dar um tapa de novo ou o quê. Depois disso, praticamente me afastei de tudo, desconectei e disse: foda-se. Não entro mais na Internet. Não sei por que as pessoas ainda estariam atrás de mim, para ser completamente honesto.”

Quando questionado sobre o que ele faz da vida, Butler disse que fica principalmente em casa e ajuda a mãe nas tarefas domésticas porque luta contra o autismo e a interação social. Ele afirma que alguém deve ter comprometido uma ou mais de suas contas antigas e está se passando por ele online como Dort.

“Provavelmente alguém está se passando por mim e agora estou realmente preocupado”, disse Butler. “Isso está me fazendo reviver tudo.”

Mas há problemas com o cronograma de Butler. Por exemplo, a voz de Jacob em nossa conversa telefônica era notavelmente semelhante à de Jacob/Dort, cuja voz pode ser ouvida em nesta competição Clash of Code de setembro de 2022 entre Dort e outro codificador (Dort perdido). Por volta dos 6 minutos e 10 segundos de gravação, Dort lança um discurso xingador que reflete o fluxo de palavrões no rap dissimulado que Dortdev postou ameaçando Brundage. Dort pode ser ouvido novamente por volta dos 16 minutos; por volta das 26h, Dort ameaça dar um tapa no oponente.

Butler disse que a voz de Dort não é exatamente dele, mas sim de um imitador que provavelmente clonou sua voz.

“Gostaria de esclarecer que não fui eu”, disse Butler. “Deve haver alguém usando um modificador de voz. Ou algo do tipo. Porque as pessoas estavam clonando minha voz antes e enviando clipes de áudio de ‘eu’ dizendo coisas ultrajantes.”