Uma investigação sobre a identidade por trás do botmaster "Dort", responsável pelo botnet Kimwolf, que tem realizado ataques DDoS, doxing e ameaças, incluindo swatting. A análise de informações públicas revela possíveis conexões com um indivíduo chamado Jacob Butler, do Canadá.
MundiX News·13 de abril de 2026·10 min de leitura·👁 3 views
No início de janeiro de 2026, o KrebsOnSecurity revelou como um pesquisador de segurança divulgou uma vulnerabilidade que foi usada para construir o Kimwolf, o maior e mais disruptivo botnet do mundo. Desde então, a pessoa no controle do Kimwolf — que usa o pseudônimo "Dort" — coordenou uma série de ataques de negação de serviço distribuídos (DDoS), doxing e inundações de e-mail contra o pesquisador e este autor, e mais recentemente fez com que uma equipe da SWAT fosse enviada à casa do pesquisador. Este artigo examina o que se pode saber sobre Dort com base em informações públicas.
Um "dox" público criado em 2020 afirmava que Dort era um adolescente do Canadá (data de nascimento em agosto de 2003) que usava os aliases "CPacket" e "M1ce". Uma pesquisa no nome de usuário CPacket na plataforma de inteligência de código aberto OSINT Industries encontra uma conta do GitHub sob os nomes Dort e CPacket que foi criada em 2017 usando o endereço de e-mail jay.miner232@gmail.com.
A empresa de inteligência cibernética Intel 471 diz que jay.miner232@gmail.com foi usado entre 2015 e 2019 para criar contas em vários fóruns de cybercrime, incluindo Nulled (nome de usuário "Uubuntuu") e Cracked (usuário "Dorted"); a Intel 471 relata que ambas as contas foram criadas a partir do mesmo endereço de Internet na Rogers Canada (99.241.112.24).
Dort era um jogador extremamente ativo no jogo da Microsoft Minecraft, que ganhou notoriedade por seu software "Dortware" que ajudava os jogadores a trapacear. Mas em algum momento, Dort se formou do hacking de jogos Minecraft para permitir crimes muito mais sérios.
Dort também usou o apelido DortDev, uma identidade que estava ativa em março de 2022 no servidor de bate-papo para o prolífico grupo de cybercrime conhecido como LAPSUS$. Dort vendia um serviço para registrar endereços de e-mail temporários, bem como o "Dortsolver", código que poderia ignorar vários serviços CAPTCHA projetados para impedir o abuso automatizado de contas. Ambas as ofertas foram anunciadas em 2022 no SIM Land, um canal do Telegram dedicado a SIM-swapping e atividade de tomada de conta.
A empresa de inteligência cibernética Flashpoint indexou postagens de 2022 no SIM Land por Dort que mostram que essa pessoa desenvolveu os serviços de e-mail descartável e bypass de CAPTCHA com a ajuda de outro hacker que usava o pseudônimo "Qoft".
"Eu literalmente só trabalho com Jacob", disse Qoft em 2022 em resposta a outro usuário, referindo-se ao seu parceiro de negócios exclusivo Dort. Na mesma conversa, Qoft se gabou de que os dois haviam roubado mais de US$ 250.000 em contas do Microsoft Xbox Game Pass, desenvolvendo um programa que criava em massa identidades do Game Pass usando dados de cartão de pagamento roubados.
Quem é o Jacob a quem Qoft se referiu como seu parceiro de negócios? O serviço de rastreamento de violações Constella Intelligence encontra a senha usada por jay.miner232@gmail.com foi reutilizada por apenas outro endereço de e-mail: jacobbutler803@gmail.com. Lembre-se de que o dox de Dort de 2020 dizia que sua data de nascimento era agosto de 2003 (08/03).
Pesquisando este endereço de e-mail em DomainTools.com revela que ele foi usado em 2015 para registrar vários domínios com tema de Minecraft, todos atribuídos a um Jacob Butler em Ottawa, Canadá e ao número de telefone de Ottawa 613-909-9727.
A Constella Intelligence encontra jacobbutler803@gmail.com foi usado para registrar uma conta no fórum de hacker Nulled em 2016, bem como o nome de conta "M1CE" no Minecraft. A partir da senha usada por sua conta Nulled, mostra que ela foi compartilhada pelos endereços de e-mail j.a.y.m.iner232@gmail.com e jbutl3@ocdsb.ca, sendo o último um endereço em um domínio para o Ottawa-Carelton District School Board.
Dados indexados pelo serviço de rastreamento de violações Spycloud sugerem que em um ponto Jacob Butler compartilhou um computador com sua mãe e um irmão, o que pode explicar por que suas contas de e-mail estavam conectadas à senha "jacobsplugs". Nem Jacob nem nenhum dos outros membros da família Butler responderam aos pedidos de comentários.
O serviço de inteligência de código aberto Epieos encontra jacobbutler803@gmail.com criou a conta do GitHub "MemeClient". Enquanto isso, a Flashpoint indexou uma postagem anônima excluída do Pastebin.com de 2017 declarando que MemeClient foi a criação de um usuário chamado CPacket — um dos primeiros apelidos de Dort.
Por que Dort está tão bravo? Em 2 de janeiro, KrebsOnSecurity publicou The Kimwolf Botnet is Stalking Your Local Network, que explorou a pesquisa sobre o botnet por Benjamin Brundage, fundador do serviço de rastreamento de proxy Synthient. Brundage descobriu que os botmasters do Kimwolf estavam explorando uma fraqueza pouco conhecida nos serviços de proxy residencial para infectar dispositivos mal defendidos — como TV boxes e porta-retratos digitais — conectados às redes internas e privadas dos endpoints de proxy.
No momento em que essa história foi ao ar, a maioria dos provedores de proxy vulneráveis havia sido notificada por Brundage e corrigido as fraquezas em seus sistemas. Esse processo de remediação de vulnerabilidades diminuiu massivamente a capacidade do Kimwolf de se espalhar e, poucas horas após a publicação da história, Dort criou um servidor Discord em meu nome que começou a publicar informações pessoais e ameaças violentas contra Brundage, este que vos escreve e outros.
Dort e amigos se incriminando ao planejar ataques de swatting em um servidor Discord público.
Na semana passada, Dort e amigos usaram o mesmo servidor Discord (então chamado "Krebs's Koinbase Kallers") para ameaçar um ataque de swatting contra Brundage, novamente postando seu endereço residencial e informações pessoais. Brundage disse ao KrebsOnSecurity que policiais locais visitaram sua casa em resposta a um trote de swatting que ocorreu na mesma época em que outro membro do servidor postou um emoji de porta e provocou Brundage ainda mais.
Dort, usando o alias "Meow", provoca o fundador da Synthient, Ben Brundage, com uma foto de uma porta.
Alguém no servidor então ligou para uma nova faixa diss do Soundcloud (e NSFW) gravada pelo usuário DortDev que incluía uma mensagem fixa de Dort dizendo: "Ur dead nigga. u better watch ur fucking back. sleep with one eye open. bitch."
"É um centavo bem alto para uma nova porta da frente", entoou a faixa diss. "Se sua cabeça não for explodida por policiais da SWAT. Como é não ter uma porta da frente?"
Com sorte, Dort logo poderá nos dizer exatamente como é.
Atualização, 10:29 a.m.:
Jacob Butler respondeu aos pedidos de comentários, falando brevemente com KrebsOnSecurity por telefone. Butler disse que não notou os pedidos de comentários anteriores porque não está realmente online desde 2021, depois que sua casa foi swatted várias vezes. Ele reconheceu ter feito e distribuído um cheat do Minecraft há muito tempo, mas disse que não joga o jogo há anos e não estava envolvido no Dortsolver ou qualquer outra atividade atribuída ao apelido Dort depois de 2021.
"Era um cheat muito antigo e não me lembro o nome", disse Butler sobre sua modificação do Minecraft. "Estou muito estressado, cara. Não sei se as pessoas vão me swat novamente ou o quê. Depois disso, eu praticamente me afastei de tudo, saí e disse foda-se isso. Eu não entro mais online. Não sei por que as pessoas ainda estariam atrás de mim, para ser completamente honesto."
Quando perguntado o que ele faz para viver, Butler disse que geralmente fica em casa e ajuda sua mãe em casa porque ele luta contra o autismo e a interação social. Ele afirma que alguém deve ter comprometido uma ou mais de suas contas antigas e está se passando por ele online como Dort.
"Alguém provavelmente está se passando por mim, e agora estou realmente preocupado", disse Butler. "Isso está me fazendo reviver tudo."
Mas há problemas com a linha do tempo de Butler. Por exemplo, a voz de Jacob em nossa conversa telefônica era notavelmente semelhante à de Jacob/Dort cuja voz pode ser ouvida nesta competição Clash of Code de setembro de 2022 entre Dort e outro coder (Dort perdeu). Por volta de 6 minutos e 10 segundos na gravação, Dort lança uma torrente de palavrões que espelha o fluxo de profanidade no diss rap que Dortdev postou ameaçando Brundage. Dort pode ser ouvido novamente por volta de 16 minutos; por volta de 26:00, Dort ameaça swat seu oponente.
Butler disse que a voz de Dort não é dele, exatamente, mas sim a de um imitador que provavelmente clonou sua voz.
"Eu gostaria de esclarecer que absolutamente não era eu", disse Butler. "Deve haver alguém usando um voice changer. Ou algo do tipo. Porque as pessoas estavam clonando minha voz antes e enviando clipes de áudio de 'mim' dizendo coisas ultrajantes."
Leitura adicional:
8 de janeiro de 2026: Quem se beneficiou dos Botnets Aisuru e Kimwolf?
20 de janeiro de 2026: Kimwolf Botnet à espreita em redes corporativas e governamentais
26 de janeiro de 2026: Quem opera o Badbox 2.0 Botnet?
11 de fevereiro de 2026: Kimwolf Botnet inunda a rede de anonimato I2P
19 de março de 2026: Federais interrompem Botnets IoT por trás de enormes ataques DDoS
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
No início de janeiro de 2026, o KrebsOnSecurity revelou como um pesquisador de segurança divulgou uma vulnerabilidade que foi usada para construir o Kimwolf, o maior e mais disruptivo botnet do mundo. Desde então, a pessoa no controle do Kimwolf — que usa o pseudônimo "Dort" — coordenou uma série de ataques de negação de serviço distribuídos (DDoS), doxing e inundações de e-mail contra o pesquisador e este autor, e mais recentemente fez com que uma equipe da SWAT fosse enviada à casa do pesquisador. Este artigo examina o que se pode saber sobre Dort com base em informações públicas.
Um "dox" público criado em 2020 afirmava que Dort era um adolescente do Canadá (data de nascimento em agosto de 2003) que usava os aliases "CPacket" e "M1ce". Uma pesquisa no nome de usuário CPacket na plataforma de inteligência de código aberto OSINT Industries encontra uma conta do GitHub sob os nomes Dort e CPacket que foi criada em 2017 usando o endereço de e-mail jay.miner232@gmail.com.
A empresa de inteligência cibernética Intel 471 diz que jay.miner232@gmail.com foi usado entre 2015 e 2019 para criar contas em vários fóruns de cybercrime, incluindo Nulled (nome de usuário "Uubuntuu") e Cracked (usuário "Dorted"); a Intel 471 relata que ambas as contas foram criadas a partir do mesmo endereço de Internet na Rogers Canada (99.241.112.24).
Dort era um jogador extremamente ativo no jogo da Microsoft Minecraft, que ganhou notoriedade por seu software "Dortware" que ajudava os jogadores a trapacear. Mas em algum momento, Dort se formou do hacking de jogos Minecraft para permitir crimes muito mais sérios.
Dort também usou o apelido DortDev, uma identidade que estava ativa em março de 2022 no servidor de bate-papo para o prolífico grupo de cybercrime conhecido como LAPSUS$. Dort vendia um serviço para registrar endereços de e-mail temporários, bem como o "Dortsolver", código que poderia ignorar vários serviços CAPTCHA projetados para impedir o abuso automatizado de contas. Ambas as ofertas foram anunciadas em 2022 no SIM Land, um canal do Telegram dedicado a SIM-swapping e atividade de tomada de conta.
A empresa de inteligência cibernética Flashpoint indexou postagens de 2022 no SIM Land por Dort que mostram que essa pessoa desenvolveu os serviços de e-mail descartável e bypass de CAPTCHA com a ajuda de outro hacker que usava o pseudônimo "Qoft".
"Eu literalmente só trabalho com Jacob", disse Qoft em 2022 em resposta a outro usuário, referindo-se ao seu parceiro de negócios exclusivo Dort. Na mesma conversa, Qoft se gabou de que os dois haviam roubado mais de US$ 250.000 em contas do Microsoft Xbox Game Pass, desenvolvendo um programa que criava em massa identidades do Game Pass usando dados de cartão de pagamento roubados.
Quem é o Jacob a quem Qoft se referiu como seu parceiro de negócios? O serviço de rastreamento de violações Constella Intelligence encontra a senha usada por jay.miner232@gmail.com foi reutilizada por apenas outro endereço de e-mail: jacobbutler803@gmail.com. Lembre-se de que o dox de Dort de 2020 dizia que sua data de nascimento era agosto de 2003 (08/03).
Pesquisando este endereço de e-mail em DomainTools.com revela que ele foi usado em 2015 para registrar vários domínios com tema de Minecraft, todos atribuídos a um Jacob Butler em Ottawa, Canadá e ao número de telefone de Ottawa 613-909-9727.
A Constella Intelligence encontra jacobbutler803@gmail.com foi usado para registrar uma conta no fórum de hacker Nulled em 2016, bem como o nome de conta "M1CE" no Minecraft. A partir da senha usada por sua conta Nulled, mostra que ela foi compartilhada pelos endereços de e-mail j.a.y.m.iner232@gmail.com e jbutl3@ocdsb.ca, sendo o último um endereço em um domínio para o Ottawa-Carelton District School Board.
Dados indexados pelo serviço de rastreamento de violações Spycloud sugerem que em um ponto Jacob Butler compartilhou um computador com sua mãe e um irmão, o que pode explicar por que suas contas de e-mail estavam conectadas à senha "jacobsplugs". Nem Jacob nem nenhum dos outros membros da família Butler responderam aos pedidos de comentários.
O serviço de inteligência de código aberto Epieos encontra jacobbutler803@gmail.com criou a conta do GitHub "MemeClient". Enquanto isso, a Flashpoint indexou uma postagem anônima excluída do Pastebin.com de 2017 declarando que MemeClient foi a criação de um usuário chamado CPacket — um dos primeiros apelidos de Dort.
Por que Dort está tão bravo? Em 2 de janeiro, KrebsOnSecurity publicou The Kimwolf Botnet is Stalking Your Local Network, que explorou a pesquisa sobre o botnet por Benjamin Brundage, fundador do serviço de rastreamento de proxy Synthient. Brundage descobriu que os botmasters do Kimwolf estavam explorando uma fraqueza pouco conhecida nos serviços de proxy residencial para infectar dispositivos mal defendidos — como TV boxes e porta-retratos digitais — conectados às redes internas e privadas dos endpoints de proxy.
No momento em que essa história foi ao ar, a maioria dos provedores de proxy vulneráveis havia sido notificada por Brundage e corrigido as fraquezas em seus sistemas. Esse processo de remediação de vulnerabilidades diminuiu massivamente a capacidade do Kimwolf de se espalhar e, poucas horas após a publicação da história, Dort criou um servidor Discord em meu nome que começou a publicar informações pessoais e ameaças violentas contra Brundage, este que vos escreve e outros.
Dort e amigos se incriminando ao planejar ataques de swatting em um servidor Discord público.
Na semana passada, Dort e amigos usaram o mesmo servidor Discord (então chamado "Krebs's Koinbase Kallers") para ameaçar um ataque de swatting contra Brundage, novamente postando seu endereço residencial e informações pessoais. Brundage disse ao KrebsOnSecurity que policiais locais visitaram sua casa em resposta a um trote de swatting que ocorreu na mesma época em que outro membro do servidor postou um emoji de porta e provocou Brundage ainda mais.
Dort, usando o alias "Meow", provoca o fundador da Synthient, Ben Brundage, com uma foto de uma porta.
Alguém no servidor então ligou para uma nova faixa diss do Soundcloud (e NSFW) gravada pelo usuário DortDev que incluía uma mensagem fixa de Dort dizendo: "Ur dead nigga. u better watch ur fucking back. sleep with one eye open. bitch."
"É um centavo bem alto para uma nova porta da frente", entoou a faixa diss. "Se sua cabeça não for explodida por policiais da SWAT. Como é não ter uma porta da frente?"
Com sorte, Dort logo poderá nos dizer exatamente como é.
Atualização, 10:29 a.m.:
Jacob Butler respondeu aos pedidos de comentários, falando brevemente com KrebsOnSecurity por telefone. Butler disse que não notou os pedidos de comentários anteriores porque não está realmente online desde 2021, depois que sua casa foi swatted várias vezes. Ele reconheceu ter feito e distribuído um cheat do Minecraft há muito tempo, mas disse que não joga o jogo há anos e não estava envolvido no Dortsolver ou qualquer outra atividade atribuída ao apelido Dort depois de 2021.
"Era um cheat muito antigo e não me lembro o nome", disse Butler sobre sua modificação do Minecraft. "Estou muito estressado, cara. Não sei se as pessoas vão me swat novamente ou o quê. Depois disso, eu praticamente me afastei de tudo, saí e disse foda-se isso. Eu não entro mais online. Não sei por que as pessoas ainda estariam atrás de mim, para ser completamente honesto."
Quando perguntado o que ele faz para viver, Butler disse que geralmente fica em casa e ajuda sua mãe em casa porque ele luta contra o autismo e a interação social. Ele afirma que alguém deve ter comprometido uma ou mais de suas contas antigas e está se passando por ele online como Dort.
"Alguém provavelmente está se passando por mim, e agora estou realmente preocupado", disse Butler. "Isso está me fazendo reviver tudo."
Mas há problemas com a linha do tempo de Butler. Por exemplo, a voz de Jacob em nossa conversa telefônica era notavelmente semelhante à de Jacob/Dort cuja voz pode ser ouvida nesta competição Clash of Code de setembro de 2022 entre Dort e outro coder (Dort perdeu). Por volta de 6 minutos e 10 segundos na gravação, Dort lança uma torrente de palavrões que espelha o fluxo de profanidade no diss rap que Dortdev postou ameaçando Brundage. Dort pode ser ouvido novamente por volta de 16 minutos; por volta de 26:00, Dort ameaça swat seu oponente.
Butler disse que a voz de Dort não é dele, exatamente, mas sim a de um imitador que provavelmente clonou sua voz.
"Eu gostaria de esclarecer que absolutamente não era eu", disse Butler. "Deve haver alguém usando um voice changer. Ou algo do tipo. Porque as pessoas estavam clonando minha voz antes e enviando clipes de áudio de 'mim' dizendo coisas ultrajantes."
Leitura adicional:
8 de janeiro de 2026: Quem se beneficiou dos Botnets Aisuru e Kimwolf?
20 de janeiro de 2026: Kimwolf Botnet à espreita em redes corporativas e governamentais
26 de janeiro de 2026: Quem opera o Badbox 2.0 Botnet?
11 de fevereiro de 2026: Kimwolf Botnet inunda a rede de anonimato I2P
19 de março de 2026: Federais interrompem Botnets IoT por trás de enormes ataques DDoS
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
