U januaru 2026. godine, portal KrebsOnSecurity objavio je informacije o ranjivosti koja je iskorišćena za izgradnju Kimwolf, najveće i najrazornije bot mreže na svetu. Osoba koja kontroliše Kimwolf, poznata pod nadimkom “Dort”, organizovala je niz napada uključujući DDoS, doxing i poplave e-pošte protiv istraživača koji je otkrio ranjivost, kao i protiv autora ovog teksta. Ovaj članak istražuje informacije dostupne o Dortu.
Javni “dox” iz 2020. godine sugeriše da je Dort tinejdžer iz Kanade, rođen avgusta 2003. godine, koji koristi nadimke “CPacket” i “M1ce.” Pretraživanjem korisničkog imena CPacket na platformi za otvorene izvore OSINT Industries pronađen je GitHub nalog pod imenom Dort i CPacket, koji je osnovan 2017. godine koristeći adresu e-pošte [email protected].
Prema informacijama cyber obaveštajne firme Intel 471, ova adresa je korišćena između 2015. i 2019. godine za kreiranje naloga na više foruma o sajber kriminalu, uključujući Nulled (korisničko ime “Uubuntuu”) i Cracked (korisnik “Dorted”). Oba naloga su registrovana sa iste IP adrese iz Rogers Canada (99.241.112.24).
Dort je takođe bio aktivan igrač u popularnoj igri Minecraft, gde je stekao notoritet zbog svog softvera “Dortware” koji je pomagao igračima da varaju. Na putu ka ozbiljnijim krivičnim delima, Dort je počeo da se bavi ozbiljnijim zločinima.
Osim toga, Dort je koristio nadimak DortDev, aktivan u martu 2022. godine na chat serveru poznate grupe za sajber kriminal LAPSUS$. Tamo je nudio uslugu za registraciju privremenih adresa e-pošte, kao i “Dortsolver,” kod koji može da zaobiđe razne CAPTCHA servise koji služe za sprečavanje automatske zloupotrebe naloga.
Cyber obaveštajna firma Flashpoint prikupila je postove iz 2022. godine na SIM Landu, gde je Dort razvio usluge privremenih e-mail adresa i zaobilaženja CAPTCHA uz pomoć drugog hakera poznatog kao “Qoft.”
Ko je zapravo Jacob na koga se Qoft poziva kao na svog poslovnog partnera? Servis za praćenje brecha Constella Intelligence otkriva da je lozinka korišćena za [email protected] korišćena i za drugu adresu: [email protected]. Prema ranijem dox-u iz 2020. godine, Dortov datum rođenja je avgust 2003. godine (8/03).
Pretragom ove adrese na DomainTools.com otkriveno je da je korišćena 2015. godine za registraciju nekoliko domena vezanih za Minecraft, svi dodeljeni Jacobu Butleru iz Otave, Kanada, uz telefonski broj 613-909-9727.
Constella Intelligence takođe otkriva da je [email protected] korišćen za registraciju naloga na forumu za hakere Nulled 2016. godine, kao i naloga pod imenom “M1CE” na Minecraftu. Analizom lozinke korišćene za Nulled nalog otkriva se da je deljena sa adresama [email protected] i [email protected], gde je druga adresa pripadala školskoj upravi Ottawa-Carelton District School Board.
Podaci prikupljeni od strane servisa Spycloud sugerišu da je Jacob Butler u nekom trenutku delio računar sa majkom i bratom, što bi moglo objasniti povezanost njihovih e-mail naloga sa lozinkom “jacobsplugs.” Ni Jacob ni ostali članovi Butlerove porodice nisu odgovorili na zahteve za komentar.
U međuvremenu, otvorena obaveštajna usluga Epieos otkriva da je [email protected] kreirao GitHub nalog “MemeClient.” Flashpoint je takođe indeksirao obrisani anonimni post na Pastebin.com iz 2017. godine koji je tvrdio da je MemeClient kreacija korisnika pod imenom CPacket — jednim od Dortovih ranih nadimaka.
Zašto je Dort toliko ljut? 2. januara, KrebsOnSecurity je objavio članak Kimwolf Botnet prati vašu lokalnu mrežu, koji istražuje rad istraživača Benjamina Brundagea, osnivača servisa za praćenje proksi Synthient. Brundage je otkrio da su botmasteri Kimwolf-a iskorišćavali malo poznatu slabost u uslugama rezidencijalnog proksija kako bi inficirali loše zaštićene uređaje — poput TV kutija i digitalnih foto okvira — povezane na interne, privatne mreže proksi tačaka.
Kada je priča objavljena, većina ranjivih provajdera proksija je bila obaveštena od strane Brundagea i ispravila slabosti u svojim sistemima. Ovaj proces korekcije ranjivosti znatno je usporio širenje Kimwolf-a, a već nekoliko sati nakon objavljivanja Dort je stvorio Discord server u moje ime, koji je počeo da objavljuje lične podatke i preteće poruke protiv Brundagea, mene i drugih.
Krajem prošle nedelje, Dort i njegovi saborci koristili su taj isti Discord server (tada nazvan “Krebs’s Koinbase Kallers”) kako bi zapretili napadom SWAT-a protiv Brundagea, ponovo objavljujući njegovu adresu i lične podatke. Brundage je rekao da su lokalni policajci kasnije posetili njegovu kuću kao odgovor na lažni poziv za SWAT, koji se dogodio otprilike u isto vreme kada je drugi član servera postavio emoji vrata i dodatno zadirkivao Brundagea.
Da li će Dort uskoro otkriti kakav je osećaj biti pod takvim pritiskom? Sa srećom, možda ćemo saznati.
