Kimwolf : qui se cache derrière le botmaster "Dort" ?

Un botnet d’une ampleur inédite

En janvier 2026, KrebsOnSecurity révélait comment une faille de sécurité, exploitée par un chercheur, avait permis la création de Kimwolf, le plus grand et le plus disruptif botnet au monde. Depuis, la personne contrôlant ce réseau, connue sous le pseudonyme "Dort", a orchestré une série d’attaques massives : DDoS, doxxing et envois de mails en masse contre le chercheur et l’auteur de l’article. Plus récemment, Dort a même provoqué l’intervention d’une équipe SWAT au domicile du chercheur.

Les indices publics sur l’identité de Dort

Une doxxing publiée en 2020 affirmait que Dort était un adolescent canadien né en août 2003, utilisant les alias "CPacket" et "M1ce". Une recherche sur la plateforme OSINT Industries révèle un compte GitHub créé en 2017 sous le nom de Dort/CPacket, associé à l’adresse mail [email protected].

La société d’intelligence cyber Intel 471 confirme que cette adresse a été utilisée entre 2015 et 2019 pour créer des comptes sur plusieurs forums de cybercriminalité, dont Nulled (pseudo "Uubuntuu") et Cracked (pseudo "Dorted"). Ces inscriptions proviennent toutes de la même adresse IP attribuée à Rogers Canada (99.241.112.24).

De Minecraft aux cyberattaques majeures

Dort s’est d’abord fait connaître dans l’univers de Minecraft, où il a développé des outils comme "Dortware", permettant aux joueurs de tricher. Mais son activité a rapidement évolué vers des crimes bien plus graves.

En mars 2022, le pseudonyme "DortDev" était actif sur le serveur de discussion du groupe cybercriminel LAPSUS$. Dort proposait alors deux services :

• Un outil de création d’adresses mails temporaires,
• Un logiciel nommé "Dortsolver", capable de contourner les CAPTCHA pour automatiser la création de comptes.

Ces services étaient promus sur SIM Land, un canal Telegram dédié aux attaques par SIM swapping et au vol de comptes. Selon Flashpoint, Dort a développé ces outils avec un complice, un pirate connu sous le pseudo "Qoft".

« Je travaille vraiment avec Jacob. »
Qoft, 2022

Dans la même conversation, Qoft se vantait d’avoir volé plus de 250 000 $ de comptes Microsoft Xbox Game Pass en créant massivement des identités grâce à des données de paiement volées.

Le lien avec Jacob Butler

Le service Constella Intelligence révèle que le mot de passe de [email protected] était également utilisé pour un autre compte : [email protected]. Or, la doxxing de 2020 indiquait que Dort était né en août 2003 (08/03).

Une recherche sur DomainTools montre que cette adresse a servi en 2015 à enregistrer plusieurs domaines liés à Minecraft, tous attribués à un certain Jacob Butler, résidant à Ottawa (Canada), avec le numéro de téléphone 613-909-9727.

Constella Intelligence confirme que [email protected] a été utilisé en 2016 pour s’inscrire sur le forum Nulled. Ces éléments suggèrent fortement que Jacob Butler et Dort ne font qu’une seule et même personne.