En enero de 2026, KrebsOnSecurity reveló cómo un investigador de seguridad descubrió una vulnerabilidad utilizada para construir Kimwolf, la mayor y más disruptiva red zombie del mundo. Desde entonces, la persona que controla Kimwolf —conocida por el alias “Dort”— ha coordinado una serie de ataques basados en denegación de servicio distribuido (DDoS), doxing e inundación de correo electrónico contra investigadores de seguridad y otros objetivos. Este post examina lo que se conoce sobre Dort basándose en la información pública.
Un 'dox' público creado en 2020 afirmaba que Dort era un adolescente de Canadá (nacido el 8 de agosto de 2003) que usaba los alias 'CPacket' y 'M1ce.' Una búsqueda del nombre de usuario CPacket en la plataforma de inteligencia abierta OSINT Industries reveló una cuenta de GitHub bajo los nombres Dort y CPacket creada en 2017 con el correo electrónico jay.miner232@gmail.com. La empresa de inteligencia cibernética Intel 471 dice que el correo electrónico jay.miner232@gmail.com se usó entre 2015 y 2019 para crear cuentas en varios foros de crimen cibernético, incluidos Nulled (nombre de usuario 'Uubuntuu') y Cracked (usuario ‘Dorted’); Intel 471 informa que ambas estas cuentas se crearon desde la misma dirección IP en Rogers Canada (99.241.112.24).
Dort era un jugador extremadamente activo del videojuego Minecraft de Microsoft, quien adquirió fama por su 'Dortware' software que ayudaba a los jugadores a trucar. Pero al cabo del camino, Dort pasó de hackear juegos de Minecraft a facilitar crímenes mucho más serios.
También usó el apodo ‘DortDev,’ una identidad activa en marzo de 2022 en el servidor de chat del grupo cibernético prolífico conocido como LAPSUS$. Dort vendía un servicio para registrarse en direcciones de correo electrónico temporales, así como 'Dortsolver,' código que podía superar varias servicios CAPTCHA diseñados para prevenir abuso de cuentas automatizadas. Ambas ofertas se anunciaron en 2022 en el canal de Telegram SIM Land dedicado a la actividad de cambio de SIM y toma de control de cuentas. La empresa de inteligencia cibernética Flashpoint indexó publicaciones de 2022 en SIM Land por Dort que muestran que esta persona desarrolló los servicios de correo electrónico desechable y superación de CAPTCHA con la ayuda de otro hacker conocido como ‘Qoft.’ “Trabajo legalmente con Jacob,” dijo Qoft a otra persona en 2022, refiriéndose a su socio de negocio exclusivo Dort. En la misma conversación, Qoft se jactó de que los dos habían robado más de $250,000 en cuentas Microsoft Xbox Game Pass al desarrollar un programa que creaba identidades masivas de Game Pass usando datos de tarjetas de pago robadas.
¿Quién es Jacob, el socio de negocio a quien Qoft se refirió? El servicio de rastreo de incursiones Constella Intelligence encontró que la contraseña utilizada por jay.miner232@gmail.com también se reutilizaba en una sola dirección de correo electrónico: jacobbutler803@gmail.com. Recuerda que el dox público de Dort dijo que su fecha de nacimiento era 8/03 (agosto de 2003). Buscando esta dirección de correo electrónico en DomainTools.com se reveló que fue utilizada en 2015 para registrar varios dominios temáticos Minecraft, todos asignados a Jacob Butler en Ottawa, Canadá y al número telefónico 613-909-9727. Constella Intelligence encontró que jacobbutler803@gmail.com se utilizó para crear una cuenta en el foro hacker Nulled en 2016, así como el nombre de usuario 'M1CE' en Minecraft. Al girar sobre la contraseña utilizada para su cuenta Nulled se reveló que se compartió con las direcciones de correo electrónico j.a.y.m.iner232@gmail.com y jbutl3@ocdsb.ca, la última siendo una dirección en un dominio del Consejo Escolar District Ottawa-Carelton.
Datos indexados por el servicio de rastreo de incursiones Spycloud sugieren que alguna vez Jacob Butler compartió una computadora con su madre y un hermano, lo cual podría explicar por qué sus cuentas de correo electrónico estaban conectadas a la contraseña ‘jacobsplugs.’ Neither Jacob nor any member of the rest of the Butler family responded to requests for comments.
El servicio de inteligencia abierta Epieos encontró que jacobbutler803@gmail.com creó la cuenta de GitHub 'MemeClient.' Mientras tanto, Flashpoint indexó un post anonimizado eliminado en Pastebin.com del 2017 declarando que MemeClient era la creación de un usuario llamado CPacket —uno de los nombres tempranos de Dort. ¿Por qué Dort está tan enfadado? El 2 de enero, KrebsOnSecurity publicó 'El botnet Kimwolf está acechando tu red local,' que exploraba la investigación sobre la red realizada por Benjamin Brundage, fundador del servicio de rastreo de proxy Synthient. Brundage descubrió que los botmasters Kimwolf estaban explotando un pequeño conocimiento de debilidades en servicios de proxy residenciales para infectar dispositivos poco defensivos —como cajas de televisión y marcos digitales de fotos— conectados a las redes internas, privadas de los extremos de los proxies. A la vez que se publicó esa historia, la mayoría de los proveedores de servicios de proxy vulnerables habían sido informados por Brundage y habían corregido las debilidades en sus sistemas. Ese proceso de corrección de vulnerabilidades enormemente ralentizó a Kimwolf.