2026年1月初旬、KrebsOnSecurityは、セキュリティ研究者が世界最大かつ最も破壊的なボットネット「Kimwolf」の構築に使用された脆弱性を公開したことを明かしました。それ以来、Kimwolfを制御する人物で「Dort」というハンドルネームで知られている者は、研究者およびこの著者に対する分散サービス妨害(DDoS)、ドキシング、メール爆弾攻撃の嵐を調整してきました。さらに最近では、研究者の家にSWATチームを送らせました。この記事は公開情報に基づいてDortについて知ることができることを調べています。
2020年に作成された公開の「ドキシング」では、Dortはカナダ出身のティーンエイジャー(生年月日2003年8月)で、「CPacket」と「M1ce」というエイリアスを使用していたと主張しています。オープンソースインテリジェンスプラットフォームOSINT Industriesでユーザー名CPacketを検索すると、2017年に作成されたDortとCPacketの名前でGitHubアカウントが見つかります。これはメールアドレス[email protected]を使用して作成されました。
画像:osint.industries。
サイバーインテリジェンス企業Intel 471は、[email protected]が2015年から2019年の間に、Nulled(ユーザー名「Uubuntuu」)とCracked(ユーザー「Dorted」)を含む複数のサイバー犯罪フォーラムでアカウントを作成するために使用されたと述べています。Intel 471は、これらのアカウントの両方がRogers Canada(99.241.112.24)の同じインターネットアドレスから作成されたと報告しています。
DortはマイクロソフトのゲームMinecraftの極めてアクティブなプレイヤーで、プレイヤーがチートするのを助けた「Dortware」ソフトウェアで悪名高さを得ました。しかし、どこかの段階でDortはMinecraftゲームのハッキングからはるかにより深刻な犯罪を可能にするようになりました。
DortはまたDortDevというニックネームも使用しており、2022年3月にLAPSUS$として知られる多産のサイバー犯罪グループのチャットサーバーでアクティブでした。Dortは一時的なメールアドレスを登録するサービス、および自動化されたアカウント悪用を防ぐために設計された様々なCAPTCHAサービスをバイパスできるコード「Dortsolver」を販売していました。これらのオファリングの両方が2022年にSIM Land(SIMスワッピングとアカウント乗っ取り活動に専念したTelegramチャネル)で宣伝されました。
サイバーインテリジェンス企業Flashpointは、2022年のSIM LandでのDortの投稿をインデックスしており、この人物が「Qoft」というハンドルネームで知られた別のハッカーの助けを借りて、使い捨てメールおよびCAPTCHAバイパスサービスを開発したことを示しています。
「本当に、私はJacobと一緒に仕事をしているだけだ」と、Qoftは2022年に別のユーザーへの返信で述べ、彼らの独占的なビジネスパートナーであるDortを指しました。同じ会話で、Qoftは盗まれた支払いカードデータを使用してGame Passを大量作成するプログラムを開発することで、250,000ドル以上のマイクロソフトXboxゲームパスアカウントを盗んだと自慢していました。
Qoftがビジネスパートナーとして言及したJacobとは誰ですか?ブリーチ追跡サービスConstella Intelligenceは、[email protected]で使用されたパスワードが、[email protected]という別のメールアドレスでのみ再利用されたことを発見しました。Dortの2020年のドキシングは、彼らの生年月日が2003年8月(8/03)だと述べていたことを思い出してください。
DomainTools.comでこのメールアドレスを検索すると、2015年にカナダのオタワのJacob Butlerに割り当てられた複数のMinecraftテーマのドメインを登録するために使用されたことが明らかになります。これはオタワの電話番号613-909-9727にも割り当てられています。
Constella Intelligenceは、[email protected]が2016年のハッカーフォーラムNulledでアカウントを登録するために、またMinecraftで「M1CE」というアカウント名として使用されたことを発見しました。彼らのNulledアカウントで使用されたパスワードを基に分析すると、それは[email protected]および[email protected]というメールアドレスで共有されていました。後者はオタワ・カルトン地区学区のドメインのアドレスです。
ブリーチ追跡サービスSpycloudによってインデックスされたデータは、ある時点でJacob Butlerが彼の母親と兄弟姉妹とコンピュータを共有していたことを示唆しており、これは彼らのメールアカウントがパスワード「jacobsplugs」に接続されていた理由を説明するかもしれません。Jacob自身、または他のButler一族の誰も、コメント要求に応じませんでした。
オープンソースインテリジェンスサービスEpieosは、[email protected]が「MemeClient」というGitHubアカウントを作成したことを発見しました。一方、Flashpointは2017年の削除された匿名のPastebin.comの投稿をインデックスしており、MemeClientはDortの初期のニックネームの1つであるCPacketというユーザーの作成であると宣言しています。
Dortはなぜそんなに怒っているのですか?1月2日、KrebsOnSecurityは「The Kimwolf Botnet is Stalking Your Local Network」を公開しました。これはプロキシ追跡サービスSynthientの創設者Benjamin Brundageによるボットネットへの研究を探索しました。Brundageは、Kimwolfボットマスターがレジデンシャルプロキシサービスの余り知られていない弱点を悪用していることを理解しました。これはテレビボックスやデジタルフォトフレームなど、プロキシエンドポイントの内部的なプライベートネットワークに接続されている防御が弱いデバイスを感染させるためです。
その記事が公開される時までに、ほとんどの脆弱なプロキシプロバイダーはBrundageによって通知され、彼らのシステムの弱点を修正していました。その脆弱性修復プロセスはKimwolfの拡散能力を大幅に遅くし、記事の公開から数時間以内にDortは私の名前でDiscordサーバーを作成し、Brundage、私自身、および他の人に関する個人情報および暴力的な脅迫を公開し始めました。
DortとDortの友人たちは公開のDiscordサーバーでスワッティング攻撃を計画し、自分たちを証拠につなぎます。
先週、DortとDortの友人たちは同じDiscordサーバー(当時は「Krebs’s Koinbase Kallers」という名前)を使用してBrundageに対するスワッティング攻撃を脅迫しました。再び彼の家のアドレスと個人情報を投稿しました。Brundageはこのスワッティング詐欺に対応して地元の警察官が彼の家を訪問したことをKrebsOnSecurityに伝えました。これはサーバーの別のメンバーがドア絵文字を投稿してBrundageをさらにからかった同じ時期に発生しました。
Dort(「Meow」というエイリアスを使用)がドアの画像でSynthient創設者Ben Brundageをからかいます。
サーバー上の誰かがその後、ユーザーDortDevによって録音された不快な(およびNSFW)新しいSoundcloudディストラックにリンクしました。これはDortからの固定メッセージを含んでいました。「お前は死んでいる。お前の後ろを見張っていた方がいいぜ。片目を開いて寝ろ。このビッチ。」
「新しい玄関には結構な金額ですね」と、ディストラックは言いました。「もしSWAT将校に頭を吹き飛ばされなければ。玄関がない状態はどんな感じですか?」
幸運があれば、Dortはすぐにそれがどのようなものかを私たち全員に正確に伝えることができるでしょう。
更新、午前10:29:Jacob Butlerはコメント要求に応答し、KrebsOnSecurityと電話で簡単に話しました。Butlerは、彼の家が複数回スワッティングされた後、2021年以来本当にオンラインになっていなかったため、以前のコメント要求に気付かなかったと述べました。彼は昔Minecraftチートを作成・配布したことを認めました。しかし、彼は何年も前からゲームをプレイしておらず、Dortsolverまたは2021年以降のDortニックネームに起因する他の活動に関わっていないと述べました。
「それは本当に古いチートで、名前を思い出せません」とButlerはMinecraftの変更について述べました。「非常にストレスを感じています。人々が再び私をスワッティングするのかどうか分かりません。その後、私はほぼすべてから身を引き、ログオフしてそれを忘れました。私はもうオンラインになりません。誰が私をまだ追いかけているのか本当に分かりません。」
生計の手段について尋ねられた時、Butlerは彼が主に家にいて、自閉症と社会的相互作用に苦しんでいるため彼の母を家の周りで助けていると述べました。彼は、誰かが彼の古いアカウントの1つ以上を侵害し、オンラインで彼になりすましていると主張しています。
「誰かが実際に私になりすましているかもしれません。今、私は本当に心配しています」とButlerは述べました。「これは私にすべてを再び経験させています。」
しかし、Butlerのタイムラインには問題があります。例えば、私たちの電話での会話でJacobの声は、DortとCoder間の2022年9月のClash of Code競争で聞こえるJacob/Dortの声と著しく似ていました(Dortは負けました)。記録の約6分10秒の時点で、DortはBrundageを脅迫してDortdevが投稿したディスラップの汚い言葉の流れを反映する呪いのたてつきに突入しました。Dortは約16分で再び聞こえます。約26:00でDortは彼の相手をスワッティングすると脅迫しています。
Butlerは、Dortの声は彼のものではなく、彼の声を複製した可能性が高い詐欺師のものだと述べました。
「それは絶対に私ではないと明確にしたいです」とButlerは述べました。「ボイスチェンジャーを使用している人がいるに違いありません。またはそのようなもの。以前、人々が私の声を複製し、『私が』法外なことを言っている音声クリップを送信していたからです。」
翻訳元: https://krebsonsecurity.com/2026/02/who-is-the-kimwolf-botmaster-dort/
