Kategorien
AttilaHildmann OpTinfoil

Kai Enderes, der mit dem Wolf tanzt – Attilas Netzwerk und „Hacker“ entblößt (Update)

Nach dem Attila-Tracking in der Türkei bekamen wir einige Hinweise, denen wir nachgingen. Einer führte uns in die Tiefen von Attilas Internet-Telegram-Netzwerk. Anschnallen, bitte! (Letztes Update: 19.03. 15:27 Uhr)

Wenn man viele Leute hat, die viele Kanäle beobachten, und dazu noch viele kennt, die ebenfalls die Augen und Ohren aufhalten, dann ergeben sich manchmal „sachdienliche Hinweise“, denen nachzugehen sich lohnt. Einer davon betraf das in verschiedenen Netzwerken auftretende Pseudonym „MaskenMakler“. MaskenMakler, so erzählten uns Dritte, behauptete, eine Video-Plattform zu betreuen.

Da wir solchen Hinweisen nachgehen, um sie zu bestätigen oder zu widerlegen, sind wir diesem Pseudonym nachgegangen. Er führte uns zu einem weiteren, den wir bereits von unseren Aktionen im letzten Jahr kannten: RealEase. MaskenMakler und RealEase ist ein und dieselbe Person.

RealEase fiel uns zum ersten Mal auf, als wir noch mit Attila Hildmanns „Demokratenchat“ (jetzt Freiheitschat) auf Telegram befasst waren, jedoch genau zu der Zeit, als wir uns bereits interessanteren Zielen zuwandten. Wir wussten damals, im Juli/August vergangenen Jahres, dass RealEase wohl einige der Bots programmiert hatte, die Attila nutzte, um quer durch seine Gruppen und Chats zu crossposten.

Nun wurde RealEase für uns interessant. Hinter RealEase und der Firma Real Ease Software steckt als Inhaber und wahrscheinlich einziger Mitarbeiter Kai Enderes. Kai Enderes ist Programmierer, Webentwickler und umtriebiger Social Media Nutzer.

Attila ist der Auffassung, dass er sich gut auf Telegram verstecken und seine Seiten hinter Cloudflare verbergen kann. Aber wenn man einmal ein Packende gefunden hat, lässt sich jeder Knoten aufdröseln.

So auch hier. Kai Enderes – RealEase – betreibt eine Domain namens realease.host. Das ist dahingehend interessant, als hier eine Vielzahl an Third-Level-Domains angelegt waren.

  • winterdienst.realease.host
  • ahmail.realease.host
  • www.realease.host
  • dc-77eec5fb59a9.realease.host
  • webmail.realease.host
  • mail.realease.host
  • ahhost.realease.host
  • main.realease.host
  • ahshop.realease.host
  • app.winterdienst.realease.host
  • wls.realease.host
  • ahshare.realease.host
  • www.gsm-dev.realease.host
  • realease.host
  • ahd.realease.host
  • gsm-dev.realease.host

Die interessanten dieser Third-Level-Domains sind hier fett markiert. Die Vermutung liegt nahe, dass es sich hierbei um Subdomains für Projekte von Attila Hildmann handelte. Unter ahshop.realease.host läuft beispielsweise Attilas Shop, dann sind die anderen ah…-Subdomain wohl auch Attila zuzuordnen. Dem war nachzugehen.

Doch zunächst musste auch geprüft werden, ob sich Kai und Attila näher kennen, ob es mehr gibt als nur die Verbindung über den Freiheitschat.

Kai Enderes ist unter zahlreichen Pseudonymen im Internet und auf Telegram unterwegs. MaskenMakler, bleenCraxx und auch bleen-dev, RealEase und KidAuthentic, um mal die wichtigsten zu nennen. Unter letzterem betreibt er eigene Telegram-Kanäle und Chats. In einem davon postete er am 18. Juli folgendes Video:

Das muss wohl an dem Tag gewesen sein, als Attila für ihn ein Dessert machte:

Juli 2020 – am 16. Juli begann Attila, von seinen super IT-Berater und dem tollen Multi-Geheimdienst-„Hackern“ zu faseln (von denen bis heute noch keiner hier angekommen ist … oder sie waren soooo gut, dass wir sie nicht gesehen haben), über die er sich an allen rächen würde, die ihm schaden.

Man kennt sich also, schauen wir Kai Enderes Aktivitäten im Netz an. Und damit Attilas Netzwerk.

Zunächst einmal gibt es eine Reihe von Telegram-Accounts und Channels, die AttiKai zugeordnet werden können. Woher wir das wissen? Nun Posts von Attila in einer Gruppe tauchen fast zeitgleich in anderen Gruppen auf, Crossposts belegen Verbindungen. Dabei handelt es sich hauptsächlich um diese 36 Chats, Kanäle, Gruppen auf Telegram:

  • @ATTILASAMURAI
  • @GRAUERWOLF1981
  • https://t.me/ATTILAHILDMANN
  • https://t.me/ATTILAHILDMANN_2
  • https://t.me/DAUMENRUNTERBLITZKRIEG
  • https://t.me/ReichsBefreiungsFront
  • https://t.me/KoronaAlarm
  • https://t.me/Muslime_gegen_CoronaDiktatur
  • https://t.me/Horst_Mahler_Kanal
  • https://t.me/AHYouTube
  • @Deutsche_Anonymous
  • @German_Anonymous
  • @WGram_Org
  • @bogdanburipa
  • @bogdanbossiankov
  • (@KaiEnderesPN,@kid_authentic) fraglich ob diese Accounts noch aktiv genutzt werden
  • @bewerbungsbot
  • @freiheitskaempferbot
  • @AntiFvckerbot
  • @AntifaFvckerBot_bot
  • @FCChatAdminBot
  • @WTubeBot
  • https://t.me/Anons_Deutschland
  • https://t.me/Anonymous_Germany
  • https://t.me/Anonymous_Demos
  • https://t.me/Anonymous_Europe
  • https://t.me/Anonymous_International_OPs
  • https://t.me/Russian_Anonymous
  • https://t.me/OPFakeAnons
  • https://t.me/gemeinsamgegenNWO
  • https://t.me/bogdanburiankov_chat
  • https://t.me/bogdanburiankov
  • https://t.me/FREIHEITS_CHAT_BL
  • https://t.me/FreiheitsChatDE
  • https://t.me/AntiAntifaDE
  • https://t.me/antiantifa_DE
  • https://t.me/whattheyhide
  • https://t.me/kai_tiktok
  • https://t.me/freiheits_news
  • https://t.me/DERDEMOCHAT
  • https://t.me/DERDEMOKANAL
  • https://t.me/ChatDerFreiheit
  • https://t.me/corona_leaks
  • https://t.me/OESTERREICH_CHAT
  • https://t.me/koronaakte
  • https://t.me/c/1380179128/36568
  • https://t.me/w_tube
  • https://t.me/QEnemies
  • https://t.me/WIRMACHENAUF_ORG
  • https://t.me/unternehmer_corona

Wenn Hildmann also behauptet, dass er auf allen Plattformen zusammen im Monat 40 Millionen Views (Pageviews bei Webseiten und „Post gesehen“ auf Telegram) generiert, so ist dies nicht aus der Luft gegriffen. Das Netzwerk aus Kanälen und Bots bietet Hildmann und Enderes auch eine gewisse Redundanz, der Wegfall eines Publikations-Kanals wird die beiden nicht stören, andere Kanäle werden übernehmen, neue werden dann aufgebaut und eingebunden.

Das Gespann AttiKai betreibt auch gemeinsam eine Reihe von Webseiten. Kai ist nicht nur Dienstleister. Dass whattheyhide.org und wtube.org zu Attila gehören, ist ja bereits bekannt. Kai und er promoten diese Plattformen ja auch auf allen Kanälen.

Kurz zu den Websites im Einzelnen:

wtube.org: wird von Attila Hildmann und Enderes/der Telegram „Anonymous“ Gruppe als zensurfreies Videoportal als Ersatz für YouTube (Double-U-Tube = wtube.org) vermarktet und beworben. User, die bei YouTube eine Sperre fürchten müssen, können hier rechtskonservativen bis rechtsextremen Video-Content hochladen. Schnittstellen zu Telegram ermöglichen es dabei, Inhalte direkt in die Infrastruktur von Telegram hochzuladen, wo sie in der Regel vor Löschung und Sperrung geschützt sind.
Beispiele: „Der Jude ist das Virus“ (http://wtube.org/user/ATTILA_HILDMANN/U9jiwaT), „Ursula Haverbeck Interview“ (http://wtube.org/user/Nike/PD4X2ED), „Ist Merkel eine polnische Jüdin“ (http://wtube.org/user/ATTILA_HILDMANN/AAJ26AV) und weitere …

whattheyhide.org
demo.whattheyhide.org: Eine direkte Kopie eines Projektes eines anderen Anbieters zur Auflistung von Demoterminen gegen die „Corona-Diktatur“.
files.whattheyhide.org: File-Sharing und Leaks, hier finden sich unter anderem die Grafiken zu Gates und ID2020, die Hildmann bereits im vergangenen Jahr über seine Dropbox verfügbar machte, aber auch Bücher wie mein Kampf und anderes indiziertes Material.
apps.whattheyhide.org: ein von Apple unabhängiger AppStore für iPhones
whattheyhide.org gibt für Spenden ein Konto von Attila Hildmann an.
Attila Hildmanns Spendenkonto für dieses Projekt:
Empfänger: Attila Hildmann
IBAN: BE25974071495982
Verwendungszweck: WTH

wirmachenauf.org: Diese Seite ist eine Kopie des Projektes eines anderen Anbieters.

wgram.org: Derzeit noch nicht in Betrieb, der Name lässt vermuten, dass Enderes hier mit Unterstützung von Hildmann eine Art Twitter-Telegram-Facebook-Klon aufzubauen gedenkt.

Attila Hildmann bezeichnete sich letztens als „der neue Zuckerberg, aber in cool“. Viele Portale zu betreiben und viele Server hinter Cloudflare zu verstecken reicht dafür nicht. Vor allem nicht, wenn man aufgrund von Seiteneinstiegen und auf indirekten Wegen die wahren IPs herausbekommt. Gurt nochmal festzurren:

  • 176.9.105.21 kaienderes.com Hetzner FSN1-DC1 (Falkenstein Datacenter 1)
  • 176.9.105.21 kaienderes.de
  • 176.9.105.21 realease-software.de
  • 168.119.164.60 s.whattheyhide.org Hetzner NBG1 (Nürnberg)
  • 168.119.164.60 tg.whattheyhide.org
  • 168.119.164.60 we.whattheyhide.org
  • 168.119.164.60 demos.whattheyhide.org
  • 168.119.164.60 vaccine.whattheyhide.org
  • 168.119.164.60 wirmachenauf.org
  • 168.119.164.60 filesharing.whattheyhide.org
  • 168.119.164.60 tube.whattheyhide.org
  • 168.119.164.60 apps.whattheyhide.org
  • 168.119.164.60 files.whattheyhide.org
  • 168.119.164.60 afbcknd.freiheits.chat
  • 168.119.164.60 admins.freiheits.chat
  • 168.119.164.60 freiheits.chat
  • 168.119.164.60 big.wtube.org
  • 168.119.164.60 broadcast.wtube.org
  • 207.246.93.168 s1.wtube.org vultr.com
  • 145.239.4.43 s2.wtube.org (OVH)
  • 168.119.164.60 tube.whattheyhide.org
  • 46.4.21.233 mail.attilahildmann.de -> ahmail.realease.host – Aktuell
  • 116.203.181.210 attilahildmann.de -> ahshop.realease.host Hetzner NBG1 (Nürnberg)
  • 78.47.138.59 attilahildmann.de -> ahshop.realease.host Hetzner NBG1
  • 116.203.7.199 attilahildmann.de -> ahshop.realease.host Hetzner NBG1 (Nürnberg)
  • 135.181.115.108 -> ahshare.realease.host (nextcloud Attila Hildmann) Hetzner hel1 (Helsinki)
  • 95.217.28.76 -> ahmail.realease.host (Mailserver Attila Hildmann) Hetzner hel1 ALT (Helsinki)
  • 176.9.105.21 -> main.realease.host (u.a. Plesk Serververwaltung) FSN1- DC1 Hetzner (Falkenstein Datacenter 1)

Nicht alle dieser Domains sind direkt erreichbar, einige haben bereits keine hinterlegten Inhalte mehr, aber insgesamt betrachtet, ergibt sich folgendes Netzwerk an Telegram Bots, Gruppen, Websites und Plattformen, über die nicht nur Attila sondern auch Kai selbst ihre vor allem in den letzten Wochen offen antisemitischen, volksverhetzenden und aufrührerischen Inhalte teilen:

Hinweis: Nicht alle oben aufgeführten Telegram-Kanäle sind in der Grafik abgebildet. Aber das ist die Grafik, die wir zusammen mit erläuternden Informationen im Vorfeld dieses Artikels am Mittwoch vergangener Woche an folgende Strafverfolgungsbehörden weitergeleitet haben:

  • Generalstaatsanwaltschaft Berlin
  • Internetwache Polizei Berlin
  • LKA34 Hinweisstelle LKA Berlin
  • Antisemitismusbeauftragter GStA Berlin
  • Staatsanwaltschaft Frankfurt
  • Senatsverwaltung für Justiz Berlin

Bei uns ist bei Antisemitismus und Hetze gegen Juden eine Linie überschritten. Daher haben wir den Behörden einen angemessen Vorsprung für eigene Ermittlungen und Maßnahmen eingeräumt. Bis auf 2 Eingangsbestätigungen, beide vom LKA Berlin haben wir von keiner Behörde bislang etwas gehört. Eben auch keinen Wunsch nach Verschiebung unserer Veröffentlichung, eine Möglichkeit, die wir ihnen einräumten.

Lustige Antwort? Ja, denn wir hatten keine Fragen gestellt, sondern Antworten geliefert.

Am vergangenen Montag haben wir zudem an die uns genannte E-Mail-Adresse des LKA die Informationen zu zwei Sprachnachrichten weitergeleitet (dazu später mehr). Diese sachdienlichen Hinweise … wir wissen nicht, was damit geschah. In der E-Mail enthalten war auch die Ankündigung der heutige Veröffentlichung und der Hinweis darauf, dass sie auch um Aufschub bitten können.

Insgesamt hatten wir eigentlich keine Aktionen der Behörden erwartet. Dass uns das LKA schreibt „zur Kenntnis genommen … bei weiteren Anliegen“ … das zeigt deutlich, dass es sie eigentlich gar nicht interessiert. Die Behörden machen in Bezug auf Ermittlungen zu Attila Hildmann einen hilflosen bis dysfunktionalen Eindruck. Jedenfalls hat niemand um Aufschub gebeten. Und seien wir mal ganz ehrlich, bei der Geschwindigkeit, in der heutzutage ein Projekt von einem Serveranbieter zum nächsten umziehen kann, macht es keinen Sinn, wenn sich Strafverfolger erst für einen Lehrgang anmelden müssen, bei dem erklärt wird, was eine IP-Adresse ist. Wenn man also Ermittlungen gegen Hildmann führen will, dann vielleicht an anderer, an kompetenter Stelle.

Kai Enderes, geboren am 25. Juni 1999, ist wohl im August letzten Jahres von Bayern nach Berlin gezogen. Vielleicht mit einem kleinen Zwischenstopp in Hannover. Wir haben jedenfalls drei Adressen von ihm sowie drei Mobilfunknummern.

Jedenfalls wohnt Mama in Bayern. Und wo wir schon dabei sind: vielleicht sollte die Mama ihren kleinen Kai mal fragen, ob er ihre Identität im Freiheitschat verwendet hat. (Beachtet das Update dazu)

Kai jedenfalls begann schon früh in 2020 oder sogar früher, unter seinem Alias „Kid Authentic“ auf Instagram, Facebook und Telegram Verschwörungsmythen und Ideen von QAnon zu publizieren. Seine „Theorien“ waren zu Beginn relativ harmlos, mittlerweile ist er durch die Kooperation mit Hildmann radikalisiert. So wie Attila hält er jetzt auf einmal nichts mehr von QAnon, der Schwenk bei ihm folgt dem von Hildmann. Er teilt rechtsextremistische und antisemitische Inhalte auch in seinen Privatkanälen.

Dass er selbst glaubt, „Anonymous“ zu sein, macht es nicht lustiger. Er steckt unserer Auffassung nach hinter „German_Anonymous“ und bedient den Kanal „Anonymous_Germany“auf Telegram – Pseudo-Anonymous, die wir intern „Hildonümus“ nennen. Nich schlimm, im Grunde, er ist in Wahrheit aber nur ein drastisch rechtsdrehender Wurschtel-QAnon-Würstel. Wenn sich aber in der Gruppe unter den Augen von Kai die Mitglieder mit „Heil“ begrüßen, Hakenkreuzfahnen und andere Widerlichkeiten posten, ist für uns eine weitere Grenze überschritten.

Wer den Namen Anonymous derartig missbraucht für extremistischen Scheiß, der kann sich nicht mehr länger hinter der Guy Fawkes Maske verstecken. Und dass Kai hinter „German_Anonymous“ und damit hinter Hildonümus auf Telegram steckt, hat sich mittlerweile sogar bestätigt.

Im Chat-Kanal https://t.me/Anons_Deutschland, der ebenfalls von Enderes und Hildmann betrieben wird, wurden in den letzten Tagen zwei Sprachnachrichten von „Anonymous Germany“ veröffentlicht, die ein Loblied auf Attila Hildmann singen. Es ist uns gelungen, die verzerrte Stimme zu entzerren und wir sind der Auffassung – wenn man es mit dem oben eingebundenen Porsche Video vergleicht, Sprachmelodie, Stimme und Akzent (seltsam rollendes R) und Sprachpausen, etc. -, dass es sich bei dem Sprecher um Enderes handelt.

Sprachdatei 1

^^ Original mit verzerrter Stimme (von https://t.me/Anons_Deutschland/3303)

entzerrte Variante:

(falls der Player nicht geht: https://anonleaks.net/wp-content/uploads/2019/03/1204fa71-a02e-497b-8d33-b99373981ffe.ogg)

Sprachdatei 2

^^ Original mit verzerrter Stimme (https://t.me/Anons_Deutschland/3279)

entzerrte Variante:

(Falls der interne Player nicht geht: https://anonleaks.net/wp-content/uploads/2019/03/773e7c82-969a-4f66-a0f7-1c208ddf793e.ogg)

Zum Vergleich nochmal das Video, achtet auf Stimme, Pausen, Betonung und das leicht rollende Maffay-R.

Eigentlich eindeutig, aber die Behörden rühren sich nicht. Derweil plant AttiKai jedenfalls Angriffe gegen Behörden und Organisationen, ausgerechnet mit so etwas wie JS-loic, wie es scheint.

Na denn … Planung eines cyberterroristischen Anschlags gegen kritische Infrastrukturen der Bundesrepublik.

Aufgrund dieser letzten mittlerweile gelöschten Posts und der Planung für Cyberattacken auf kritische Infrastrukturen, haben wir – auch im Hinblick auf den Hackerangriff auf das Paul-Ehrlich-Institut (von dem wir nicht annehmen, dass die das waren, Hafnium != Solarwinds, aber andere Organisationen vielleicht) – am Dienstag noch eine zusätzliche Mail an den Generalbundesanwalt, das BKA, das Bundesamt für Verfassungsschutz und weitere geschickt. Bei kritischen Infrastrukturen ist eine weitere rote Linie überschritten, die Dritte. Auch diese Behörden hatten die Chance, die Veröffentlichung für Ermittlungen und Maßnahmen zu verschieben.

Wir sind uns sehr sicher, dass Kai Enderes der „junge Programmierer“ ist, der für Attila die technische Arbeit verrichtet. Viele von seinen Servern, ob Backend, Frontend oder Proxies, sind bei Hetzner angemietet mit Server-Standorten in den Rechenzentren Nürnberg, Falkenstein und Helsinki. Ein Server ist bei OVH in Straßburg, wohl in den nicht abgebrannten RZs, einer in den USA bei Vultr.

Doch Kai ist nicht nur Techniker, er ist selbst Hetzer.

Das ist ein kurzer Überblick über unsere Recherchen zu AttiKais Netzwerk. Ob die Behörden jetzt, nach Veröffentlichung, etwas daraus machen, ob sie etwas daraus machen können oder wollen – wer weiß.

Aber eines ist gewiss: Niemand, der sich jemals im Dunstkreis von Attila Hildmann aufhält und ihm hilft, seine kriminelle Energie auszuleben, wird sicher vor uns sein.

Und weil wir keinerlei Hemmungen haben, haben wir auch schon ne Mail an seine Mama geschickt.


Update 19.03.2021 00:38 Uhr

Enderes‘ Mutter hat uns kontaktiert und sich von Attilas und Kais Gesinnung distanziert. Für uns ist sie raus, sie sollte auch nicht unter Kais Mist leiden. Sie hat damit absolut nichts zu tun und sollte weder bedroht noch getrollt werden. Wir wollten ihr mit der Übermittlung der Recherche lediglich die Dimensionen vor Augen führen. Das ist erfolgt, Aktionen gegen die Mutter waren von unserer Seite ohnehin nicht geplant.

Ich weiß ja nicht ob die Nachrichten die ich unter meinen Youtube Videos bekomme auch von euch sind? Wenn ja bitte ich euch dies zu unterlassen.

Was bisher unter ihren Videos gepostet wurde, ist nicht auf unserem Mist gewachsen; sollte so nicht auch nicht weiter passieren.

Kai hat genug eigene Kanäle.

Update 19.03.2021, 15:27 Uhr

Hetzner hat uns geantwortet. \o/

Die E-Mail an Hetzner ging ja Vorabend der Veröffentlichung raus. Wir hatten bislang nur eine automatisierte Antwort.

Jetzt, heute, Freitag, schreiben Sie uns:

Sehr geehrte Damen und Herren,

vielen Dank für die Informationen!

Wir werden das Ganze intern prüfen.

Na denn.