Der 23-jährige Jacob Butler wurde am Donnerstag in Ottawa festgenommen – ihm drohen bis zu zehn Jahre Haft.
Zwei Millionen infizierte Android-TV-Geräte
Jacob Butler, unter dem Pseudonym „Dort“ bekannt, soll das Kimwolf-Botnetz verwaltet haben, das weltweit rund zwei Millionen Android-TV-Geräte infizierte. Die Behörden beschreiben das Netzwerk als „DDoS-for-Hire“-Dienst – eine Plattform, die gegen Bezahlung massenhafte Cyberangriffe ermöglichte. Laut Gerichtsakten war das Botnetz für mehr als 25.000 einzelne Attacken verantwortlich, darunter ein Angriff auf das US-Verteidigungsministerium.
Der aktuelle Fall zeigt, wie leicht ungesicherte Android-Systeme zur Zielscheibe von Kriminellen werden. Schützen Sie Ihre Geräte mit fünf einfachen Experten-Maßnahmen effektiv vor Hackern und Datenmissbrauch. Gratis-Ratgeber: Android-Smartphone sicher machen
Die Anklage wurde bereits im April 2026 in Alaska erhoben. Die US-Behörden beantragen nun Butlers Auslieferung. Das Besondere an Kimwolf: Es nutzte handelsübliche Android-Fernseher als Angriffswaffen. Diese Geräte sind oft schlecht gesichert und eignen sich ideal für langfristige Kompromittierungen.
Das Botnetz war Teil eines größeren Verbunds, zu dem auch die Netzwerke Aisuru, JackSkid und Mossad gehörten. In einem dokumentierten Fall erreichte die gebündelte Angriffswelle eine Datenrate von 31,4 Terabit pro Sekunde – genug, um selbst hochsichere Unternehmensnetze lahmzulegen.
Bereits im März 2026 versuchten die Behörden, die Infrastruktur zu beschlagnahmen. Doch das Netzwerk zeigte sich widerstandsfähig: Teile davon wurden kurz nach der Beschlagnahmung reaktiviert.
Großoffensive gegen Cybercrime-Infrastruktur
Die Festnahme ist Teil einer konzertierten Aktionswoche. Am Donnerstag gab Microsoft die Zerschlagung von „Fox Tempest“ bekannt – einem „Malware-Signing-as-a-Service“-Angebot. Diese Plattform stellte gefälschte digitale Zertifikate für berüchtigte Ransomware-Gruppen wie Rhysida, Akira und Qilin bereit. Damit konnten Kriminelle ihre Schadsoftware als legitime Anwendungen tarnen und Sicherheitsfilter in Krankenhäusern, Schulen und kritischen Infrastrukturen umgehen.
Microsofts Digital Crimes Unit schätzt, dass die Betreiber seit Mai 2025 Millionen Euro Umsatz erzielten. In einer koordinierten Aktion mit FBI und Europol beschlagnahmten die Ermittler die Domain signspace.cloud sowie hunderte virtuelle Maschinen.
Nur zwei Tage zuvor, am 19. und 20. Mai, hatte die Operation Saffron Erfolg: Der Dienst „First VPN“, den Ransomware-Banden zur Verschleierung ihrer Aktivitäten nutzten, wurde zerschlagen. Ermittler aus 27 Ländern beschlagnahmten 33 Server, ein Administrator wurde in der Ukraine vernommen.
Während Behörden gegen kriminelle Infrastrukturen vorgehen, bleiben veraltete Systeme das größte Risiko für Nutzer. Erfahren Sie in diesem kostenlosen Report, wie Sie Sicherheitslücken durch richtige Updates schließen und Malware dauerhaft verhindern. Kostenlosen Android-Sicherheits-Report herunterladen
Schwachstellen-Ausnutzung überholt Social Engineering
Die jüngsten Erfolge fallen in eine Zeit wachsender technischer Bedrohungen. Ein Sicherheitsbericht von Rapid7 für das erste Quartal 2026 zeigt: Die Ausnutzung von Software-Schwachstellen hat Social Engineering als häufigsten Einfallsvektor abgelöst. Demnach entfallen 38 Prozent aller Vorfälle auf Schwachstellen-Ausnutzung, verglichen mit 24 Prozent für Social Engineering. Die Zahl der ausgenutzten Schwachstellen stieg im Jahresvergleich um 105 Prozent.
Auch die Geschwindigkeit der Angreifer hat zugenommen: Die Zeitspanne zwischen der Offenlegung einer Schwachstelle und ihrer Aufnahme in den CISA-Katalog bekannter ausgenutzter Schwachstellen sank von 8,5 Tagen auf nur noch fünf Tage. Ein aktuelles Beispiel: Zwei Zero-Day-Lücken in Microsoft Defender (CVE-2026-41091 und CVE-2026-45498) wurden am 21. und 22. Mai per Notfall-Patch geschlossen, nachdem aktive Ausnutzung gemeldet wurde.
Neue Risiken durch KI und Lieferketten
Sicherheitsexperten warnen zudem vor neuen Identitätsrisiken. Im April 2026 gab es einen Supply-Chain-Angriff auf die Bitwarden-Kommandozeilenschnittstelle im npm-Registry, der es Angreifern ermöglichte, GitHub-Tokens und Cloud-Zugangsdaten zu stehlen. Erstmals wurden auch Zugangsdaten aus KI-Assistenten gestohlen – ein Hinweis darauf, dass die Angriffsfläche mit der Integration von KI-Tools weiter wächst.
Ausblick: Widerstandsfähige Netzwerke
Während Jacob Butler auf seine Auslieferung wartet, bleibt die Frage nach der Widerstandsfähigkeit des Kimwolf-Netzwerks. Die anhaltende Aktivität nach der Festnahme deutet darauf hin, dass sekundäre Kontrollinstanzen oder automatisierte Failover-Mechanismen weiterlaufen.
Die Serie von Zerschlagungen im Mai 2026 – Kimwolf, Fox Tempest, First VPN – zeigt eine neue Entschlossenheit von Strafverfolgungsbehörden und Privatwirtschaft. Doch der schnelle Anstieg der Schwachstellen-Ausnutzung und das Aufkommen von „Phishing-as-a-Service“-Angeboten wie Kali365 machen deutlich: Die Einstiegshürde für Cyberkriminalität sinkt weiter.
In Europa wächst parallel der regulatorische Druck. Am Freitag reichten Verbraucherschutzorganisationen Beschwerden gegen Google, Meta und TikTok nach dem Digital Services Act ein. Der Vorwurf: Die Plattformen schützten Nutzer nicht ausreichend vor Finanzbetrug. Bei Verstößen drohen Strafen von bis zu sechs Prozent des globalen Jahresumsatzes – ein Hebel, der die Cybersicherheitslandschaft für den Rest des Jahres prägen dürfte.
