Cyberkriminalität SIM-Swapping Botnetze Kimwolf DDoS-Attacken Dort LAPSUS$ Hacker

Anfang Januar 2026 enthüllte KrebsOnSecurity, wie ein Sicherheitsforscher eine Schwachstelle aufdeckte, die zum Bau von Kimwolf genutzt wurde – dem größten und zerstörerischsten Botnetz der Welt. Seitdem koordiniert die Person hinter dem Pseudonym „Dort“ eine Reihe von Cyberangriffen, darunter verteilte Denial-of-Service-Attacken (DDoS), Doxing und E-Mail-Flooding gegen den Forscher sowie den Autor dieses Artikels. Kürzlich veranlasste Dort sogar den Einsatz eines SWAT-Teams beim Wohnort des Forschers.

Wer ist „Dort“? Die Spurensuche in öffentlichen Daten

Basierend auf öffentlich verfügbaren Informationen lässt sich ein erstes Profil des Hackers erstellen. Ein im Jahr 2020 veröffentlichtes „Dox“ behauptete, Dort sei ein kanadischer Teenager (*August 2003*), der unter den Aliasen „CPacket“ und „M1ce“ auftrat. Eine Suche auf der Open-Source-Intelligence-Plattform OSINT Industries zeigt ein GitHub-Konto unter dem Namen Dort/CPacket, das 2017 mit der E-Mail-Adresse [email protected] erstellt wurde.

Frühe Aktivitäten: Von Minecraft zu Cyberkriminalität

Die Cyberintelligenzfirma Intel 471 bestätigt, dass die E-Mail-Adresse [email protected] zwischen 2015 und 2019 für die Registrierung mehrerer Accounts auf Cyberkriminalitätsforen genutzt wurde. Dazu gehören:

  • Nulled (Nutzername „Uubuntuu“)
  • Cracked (Nutzername „Dorted“)

Beide Accounts wurden laut Intel 471 von derselben IP-Adresse aus dem Rogers-Canada-Netzwerk (99.241.112.24) erstellt. Dort war zudem ein aktiver Spieler im Spiel Minecraft und erlangte Bekanntheit durch die Entwicklung von „Dortware“ – einer Software, die Spielern beim Cheaten half.

Der Übergang zur schweren Cyberkriminalität

Im März 2022 tauchte der Nickname „DortDev“ in einem Chat des berüchtigten Cyberkriminalitätskollektivs LAPSUS$ auf. Dort bot dort Dienstleistungen an, darunter:

  • Registrierung temporärer E-Mail-Adressen
  • „Dortsolver“ – ein Tool, das CAPTCHA-Systeme umgehen konnte

Diese Angebote wurden 2022 über den Telegram-Kanal SIM Land beworben, der sich auf SIM-Swapping und Account-Übernahmen spezialisiert hat. Die Cyberintelligenzfirma Flashpoint fand 2022 Posts von Dort auf SIM Land, in denen dieser zugab, die Dienste gemeinsam mit einem anderen Hacker namens „Qoft“ entwickelt zu haben.

„I legit just work with Jacob.“
– Qoft, 2022, in einem Gespräch über die Zusammenarbeit mit Dort

In demselben Thread prahlte Qoft damit, dass die beiden durch die massenhafte Erstellung von Xbox Game Pass-Konten mit gestohlenen Kreditkartendaten über 250.000 US-Dollar erbeutet hätten.

Die Verbindung zu Jacob Butler

Die Passwort-Analyse der Firma Constella Intelligence zeigt, dass das Passwort von [email protected] auch für ein weiteres Konto genutzt wurde: [email protected]. Interessanterweise passt das Geburtsdatum aus dem 2020er-Dox (August 2003) zu diesem Konto.

Eine Suche auf DomainTools.com ergab, dass die E-Mail-Adresse 2015 zur Registrierung mehrerer Minecraft-bezogener Domains genutzt wurde. Diese waren auf einen Jacob Butler in Ottawa, Kanada, und die Telefonnummer 613-909-9727

Constella Intelligence fand zudem heraus, dass [email protected] 2016 für die Registrierung eines Accounts auf dem Hackerforum Nulled verwendet wurde.

Quelle: Krebs on Security
Starkiller: Neuer Phishing-Service umgeht MFA und echte Login-Seiten
← Vorheriger

Starkiller: Neuer Phishing-Service umgeht MFA und echte Login-Seiten

 KI-Assistenten: Revolution in der IT-Sicherheit oder neues Risiko?
Nächster →

KI-Assistenten: Revolution in der IT-Sicherheit oder neues Risiko?