Les autorités américaines et canadiennes ont arrêté et inculpé un homme. Il est accusé d’avoir géré le botnet KimWolf, un service d’attaque par déni de service distribué. Ce réseau malveillant a infecté près de deux millions d’appareils à travers le monde.
Jacob Butler, un Canadien âgé de 23 ans, a été interpellé à Ottawa. Il utilisait aussi le pseudonyme en ligne « Dort ». Son arrestation, sur mandat d’extradition, a eu lieu mercredi.
Une plainte pénale déposée dans le district d’Alaska a été rendue publique jeudi. L’enquête s’est appuyée sur des adresses IP, des comptes en ligne, des relevés de transactions et des messages. Ces éléments ont permis d’établir un lien entre Butler et le botnet KimWolf.
Butler attend son extradition vers les États-Unis. Il encourt une inculpation pour complicité d’intrusion informatique. La peine maximale pour ce chef d’accusation est de dix ans de prison.
Selon les documents judiciaires, KimWolf fonctionnait comme un service de location d’attaques DDoS. Des cybercriminels l’ont utilisé pour lancer des assauts. L’un d’eux a atteint une puissance de près de 30 térabits par seconde. Il s’agissait alors de la plus grosse attaque DDoS jamais documentée.
Butler a adopté un modèle de cybercriminalité à la demande. Il vendait l’accès à une vaste armée de machines compromises. Ce réseau comprenait des cadres photos numériques, des caméras web, des boîtiers Android TV et des appareils de streaming.
Le botnet a servi dans plus de 25 000 attaques. Des ordinateurs et des serveurs du monde entier ont été visés, dont des adresses IP du Department of Defense Information Network. Certaines victimes ont subi des pertes financières qui dépassent le million de dollars.
Les chercheurs de la société de cybersécurité Synthient surveillaient l’expansion rapide de KimWolf. Ils avaient signalé en janvier que le botnet approchait les deux millions de machines. Cette croissance était due à la compromission d’appareils Android, via des failles dans des réseaux proxy résidentiels. Le réseau générait près de 12 millions d’adresses IP uniques chaque semaine.
Parallèlement, le district central de Californie a dévoilé des mandats de saisie. Ils visaient 45 plateformes de location d’attaques DDoS. Cette action a permis de perturber plusieurs de ces services. Au moins l’une de ces plateformes collaborait avec le botnet KimWolf.
Le ministère américain de la Justice a précisé que ces saisies avaient largement désorganisé le marché des attaques DDoS. Les autorités américaines se sont aussi emparées des noms de domaine liés à de nombreux services. Ces adresses redirigent désormais vers une page d’avertissement officielle. Elle informe les visiteurs que les services DDoS sont illégaux.
L’arrestation de Butler fait suite à une opération internationale menée en mars 2026. Les autorités américaines, allemandes et canadiennes avaient alors saisi l’infrastructure de contrôle de KimWolf et de trois autres botnets apparentés. Il s’agissait des réseaux Aisuru, JackSkid et Mossad. Ensemble, ces quatre réseaux avaient infecté plus de trois millions d’appareils de l’Internet des objets.
Le ministère américain de la Justice avait alors indiqué que les appareils compromis incluaient des caméras web, des enregistreurs vidéo numériques et des routeurs Wi-Fi. Une grande partie de ces appareils se trouvaient aux États-Unis.