Kimwolf : le cerveau présumé du botnet aux 2 millions d’appareils infectés arrêté au Canada




Après le démantèlement technique de Kimwolf en mars, les autorités passent au volet judiciaire. Un Canadien de 23 ans, soupçonné d’avoir administré ce botnet géant, a été arrêté à Ottawa et attend désormais son éventuelle extradition vers les États-Unis.


Après avoir neutralisé les serveurs, les noms de domaine et les infrastructures de commande de Kimwolf, les autorités ont fini par remonter la piste humaine.

Le botnet aux près de 2 millions d’appareils infectés a désormais un visage présumé, celui de Jacob Butler, alias Dort, arrêté au Canada à la demande de la justice états-unienne.

Les enquêteurs l’accusent d’avoir exploité le réseau comme un service de DDoS à louer, utilisé pour lancer des dizaines de milliers d’attaques contre des cibles publiques et privées.


Des logs, des comptes, des transactions et un suspect

Fin de partie, donc, pour Jacob Butler, 23 ans, interpellé mercredi dernier à Ottawa sur mandat d’extradition.

Selon la plainte pénale rendue publique dans le district d’Alaska, les autorités l’auraient relié au botnet grâce à un ensemble d’éléments techniques, financiers et conversationnels, dont des adresses IP, des comptes en ligne, des transactions et des échanges privés.

Dans le détail, le suspect est poursuivi pour aide et complicité d’intrusions informatiques, une accusation passible de dix ans de prison au maximum aux États-Unis.

Il est soupçonné d’avoir vendu l’accès à Kimwolf selon un modèle de cybercriminalité à la demande, permettant à d’autres groupes ou individus de lancer des attaques DDoS contre des serveurs et infrastructures en ligne.

D’après les documents judiciaires, le botnet aurait émis plus de 25 000 commandes d’attaque, dont certaines ont atteint près de 30 Tbit/s, et causé des pertes dépassant le million de dollars pour plusieurs victimes.

En parallèle, la justice états-unienne a aussi fait saisir des services en ligne associés à 45 plateformes de DDoS à louer, dont une au moins aurait exploité l’infrastructure de Kimwolf.


Mirai, Aisuru, Kimwolf et la fabrique des attaques records

L’arrestation de Jacob Butler s’inscrit dans la continuité de l’opération menée en mars 2026 contre Kimwolf et plusieurs botnets associés, à savoir Aisuru, JackSkid et Mossad.

À l’époque, les autorités états-uniennes, allemandes et canadiennes avaient annoncé la saisie d’infrastructures de commande et de contrôle utilisées par ces réseaux, accusés d’avoir compromis plus de 3 millions d’appareils IoT au total, dont environ 2 millions pour Kimwolf seul.

Pour rappel, Kimwolf est une variante de Mirai, dont le code source publié en 2016 continue d’alimenter des générations de botnets taillés pour les attaques DDoS.

Le réseau piochait dans le grand bric-à-brac de l’IoT domestique, en grande partie des équipements grand public rarement mis à jour, et donc mal sécurisés.

Enregistreurs vidéo, boîtiers Android TV, cadres photo numériques ou routeurs Wi-Fi servaient ainsi de relais à des attaques massives, sans que leurs propriétaires en aient forcément conscience.

Avant l’intervention coordonnée de mars, Lumen avait déjà documenté ses propres efforts pour perturber l’activité de Kimwolf et d’Aisuru,

régulièrement rapprochés par les chercheurs en raison de leurs liens techniques et opérationnels.

Cloudflare avait aussi associé ce même duo à plusieurs attaques DDoS hyper-volumétriques entre fin 2025 et début 2026, période durant laquelle les records se sont enchaînés les uns après les autres.