Le autorità statunitensi hanno smantellato a fine marzo 2026 l’infrastruttura di quattro botnet, tra cui KimWolf. Contestualmente, la polizia canadese ha arrestato ad Ottawa il presunto amministratore della rete, il 23enne Jacob Butler, che ora attende l’estradizione negli Stati Uniti.
Secondo gli investigatori, l’uomo rischia fino a 10 anni di prigione se venisse condannato per le accuse contestate. Il caso riporta l’attenzione sul mercato criminale delle botnet e sul ruolo dei servizi DDoS-for-hire, che negli ultimi anni hanno alimentato attacchi su larga scala contro aziende, enti pubblici e infrastrutture digitali.
KimWolf, la botnet usata per attacchi DDoS su larga scala
KimWolf avrebbe infettato quasi due milioni di dispositivi nel mondo, con una diffusione concentrata soprattutto su Android TV box, cornici digitali e videocamere IP. Una volta compromessi, questi dispositivi venivano inseriti in una rete controllata da remoto e sfruttati per eseguire attacchi distribuiti di tipo DDoS.
La botnet non era usata soltanto per colpire singoli obiettivi: l’accesso alle macchine infette veniva offerto a noleggio, trasformando l’infrastruttura in un vero e proprio servizio criminale. In pratica, KimWolf funzionava come una piattaforma DDoS-for-hire, capace di mettere a disposizione di altri cybercriminali una potenza di fuoco notevole e facilmente monetizzabile.
Nel tempo, la rete sarebbe stata impiegata in oltre 25.000 attacchi contro computer e server, inclusi anche sistemi collegati al Dipartimento della Difesa. In diversi casi, i flussi malevoli avrebbero raggiunto i 30 Terabit al secondo, una soglia sufficiente a provocare interruzioni estese e danni economici molto consistenti.
Come le forze dell’ordine hanno identificato il sospetto
L’indagine che ha portato all’arresto del presunto amministratore si è basata su più fonti di prova raccolte con un mandato legale. Gli investigatori hanno incrociato indirizzi IP, informazioni sugli account online, movimenti finanziari e dati provenienti da app di messaggistica per risalire all’identità del sospetto.
Un contributo importante è arrivato anche dalla cooperazione internazionale. Oltre alle autorità canadesi e statunitensi, hanno partecipato alla ricostruzione del quadro la polizia criminale tedesca e diverse aziende tecnologiche e di sicurezza, tra cui Akamai, Amazon Web Services, Cloudflare, DigitalOcean, Epieos, Google, Hydrolix, Lumen, Nokia, Oracle e PayPal.
Perché il caso KimWolf è importante per la sicurezza digitale
Lo smantellamento di KimWolf mostra quanto siano ancora vulnerabili molti dispositivi connessi usati in ambito domestico e professionale. Telecamere IP, box Android e altri oggetti IoT restano spesso bersagli facili per chi costruisce reti botnet su larga scala, soprattutto quando mancano aggiornamenti, credenziali robuste o una configurazione adeguata.
Il caso evidenzia anche come il fenomeno del DDoS-for-hire continui a rappresentare un business redditizio per i criminali informatici. La possibilità di affittare una botnet abbassa la soglia di ingresso per attacchi complessi, aumentando il numero di aggressori e rendendo più difficile la difesa dei servizi online. Per utenti e aziende, la lezione è chiara: la protezione degli endpoint IoT è ormai una priorità, non un dettaglio tecnico.
