全球最大DDoS僵尸网络运营者落网：23岁Dort被捕

导语：2026年5月21日，加拿大渥太华，一场持续数月的网络威胁终于画上句号。23岁的雅各布·巴特勒（Jacob Butler），网名”Dort”，被加拿大警方依据美国引渡令逮捕。他涉嫌构建和运营史上规模最大的物联网僵尸网络KimWolf，感染近200万台设备，发起过超3万次DDoS攻击，其中一次攻击流量高达31.4 Tbps，创下历史纪录。如今，他面临加拿大和美国双重指控，等待引渡。

一、KimWolf僵尸网络：从默默扩张到震惊行业

1.1 规模空前的IoT僵尸网络

KimWolf是一个以”网络犯罪即服务”（Cybercrime-as-a-Service）模式运营的分布式拒绝服务（DDoS）僵尸网络。与传统僵尸网络不同，KimWolf主要入侵那些”传统上被防火墙隔离于互联网之外”的物联网设备，包括：

网络摄像头和数字录像机（DVR）
数码相框
基于Android系统的电视盒和流媒体设备

根据美国司法部的声明，KimWolf关联的DDoS攻击流量接近30 Tbps（terabits per second），创下了有记录以来公开披露的最大规模DDoS攻击。这一数据与同期另一个大型僵尸网络Aisuru发动的31.4 Tbps攻击（同样针对Cloudflare）遥相呼应。

1.2 攻击规模与影响范围

安全公司Synthient的监测数据显示，KimWolf在2026年1月急速扩张，感染设备数量接近200万台，每周可生成约1200万个独立IP地址。2026年3月，美国、德国和加拿大三国执法部门联合行动，捣毁了KimWolf及其三个关联僵尸网络（Aisuru、JackSkid和Mossad）的指挥控制基础设施。四大僵尸网络合计感染超过300万台IoT设备。

关键数据一览：

指标	数据
感染设备数量	近200万台（KimWolf单独）
关联总感染量	超300万台（含Aisuru等）
DDoS攻击指令数	逾2.5万次
单次最大攻击流量	接近30 Tbps
每周生成IP数	约1200万个
部分受害者损失	超过100万美元

二、运营者”Dort”的真实身份

2.1 从网络追踪到落网

巴特勒的真实身份最早由安全记者布赖恩·克雷布斯（Brian Krebs）于2026年2月通过公开资源调查揭露。调查人员梳理了多個网络犯罪论坛上的注册邮箱和Telegram、Discord群组发言，最终将其与KimWolf的管理账号关联。

值得注意的是，巴特勒在落网前的数月内，对多名追踪其僵尸网络的安全研究员发起了DDoS攻击、人肉搜索（doxing）和”swatting”（谎报重大犯罪以引诱特警队上门）攻击。其中一起swatting目标直指安全公司Synthient的创始人本·布伦戴奇（Ben Brundage）。Synthient曾在2026年1月协助修复了KimWolf利用的一个关键漏洞，减缓了其传播速度。

被捕后，巴特勒在加拿大的法院审前听证中预计继续被羁押至2026年5月26日。

2.2 面临的法律后果

在加拿大，巴特勒面临三项指控：

unauthorized use of computer（非法使用计算机）
possession of device to obtain unauthorized use of computer system or to commit mischief（持有用于实施非法入侵或破坏的设备）
mischief in relation to computer data（针对计算机数据的破坏行为）

在美国，他面临一项帮助和教唆计算机入侵的指控，若被引渡并定罪，最高可判处10年监禁。美国量刑指南可能会考虑其年龄、缺乏犯罪前科以及配合调查程度等因素适当减轻处罚。