Kimwolf-botmesteren 'Dort' afsløret: Fra Minecraft-hacker til verdens største botnet

Kimwolf-botnetets mystiske leder

I begyndelsen af januar 2026 afslørede KrebsOnSecurity, hvordan en ukendt sårbarhed blev udnyttet til at opbygge Kimwolf – det hidtil største og mest ødelæggende botnet i verden. Siden da har den person, der står bag Kimwolf og kalder sig selv ‘Dort’, koordineret en række cyberangreb mod forskeren, der afslørede sårbarheden, samt denne artikels forfatter.

Angrebene har omfattet DDoS-angreb, doxxing og massiv e-mail-spamming. Senest har Dort endda fået en SWAT-enhed sendt til forskerens hjem som led i en falsk alarm. Men hvem er egentlig denne mystiske hacker?

Fra canadisk teenager til cyberkriminel

Ifølge en offentlig doxxing-rapport fra 2020 var Dort en canadisk teenager født i august 2003. Personen brugte også aliaserne ‘CPacket’ og ‘M1ce’. En undersøgelse af brugernavnet CPacket på OSINT-platformen OSINT Industries afslører en GitHub-profil oprettet i 2017 med e-mail-adressen [email protected].

Cyberintelligence-firmaet Intel 471 har sporet denne e-mail-adresse tilbage til flere cyberkriminelle fora mellem 2015 og 2019, herunder Nulled (brugernavn ‘Uubuntuu’) og Cracked (brugernavn ‘Dorted’). Begge konti blev oprettet fra den samme IP-adresse tilhørende Rogers Canada (99.241.112.24).

Fra Minecraft-cheats til alvorlig cyberkriminalitet

Dort var en aktiv spiller i Minecraft og opnåede berømmelse for at udvikle ‘Dortware’ – software, der hjalp spillere med at snyde. Men på et tidspunkt skiftede Dort fokus fra Minecraft til mere alvorlig cyberkriminalitet.

Et andet alias, ‘DortDev’, blev brugt på chatserveren for den berygtede cyberkriminelle gruppe LAPSUS$ i marts 2022. Dort tilbød her tjenester som midlertidige e-mail-adresser og ‘Dortsolver’ – kode til at omgå CAPTCHA-tjek, der normalt forhindrer automatiseret misbrug af konti.

Disse tjenester blev annonceret på SIM Land, en Telegram-kanal dedikeret til SIM-swapping og kontostjæl. Cyberintelligence-firmaet Flashpoint har fundet 2022-indlæg på kanalen, hvor Dort samarbejdede med en anden hacker kaldet ‘Qoft’.

«Jeg arbejder egentlig bare sammen med Jacob,» sagde Qoft i 2022 i en samtale med andre brugere, hvor han henviste til sin forretningspartner Dort. I samme samtale hævdede Qoft, at de to havde stjålet mere end 250.000 dollars værd af Microsoft Xbox Game Pass-konti ved at udvikle et program, der masseoprettede Game Pass-identiteter med stjålne betalingskortoplysninger.

Identiteten bag aliaset

Men hvem er Jacob, som Qoft refererede til? Tjenesten Constella Intelligence har fundet ud af, at adgangskoden til [email protected] også blev brugt på en anden e-mail-adresse: [email protected].

En søgning på denne e-mail-adresse via DomainTools.com viser, at den i 2015 blev brugt til at registrere flere Minecraft-relaterede domæner. Alle var tilknyttet en Jacob Butler i Ottawa, Canada, samt telefonnummeret 613-909-9727.

Yderligere undersøgelser viser, at [email protected] blev brugt til at oprette en konto på hackerforummet Nulled i 2016. Dette styrker teorien om, at Dort og Jacob Butler sandsynligvis er den samme person.

Konklusion: En digital transformation fra spil til cyberkriminalitet

Dorts rejse fra en ung Minecraft-hacker til at stå bag verdens største botnet illustrerer, hvordan cyberkriminalitet kan udvikle sig fra harmløse aktiviteter til alvorlige forbrydelser. Med en kombination af teknisk kunnen og et netværk af medsammensvorne har Dort formået at skabe et af de mest skadelige botnets nogensinde.

Spørgsmålet er nu, om de canadiske myndigheder vil tage sagen op og forsøge at identificere og retsforfølge den person, der står bag aliaset ‘Dort’.