Het werkelijke meesterbrein achter het Bredolab-botnet dat eind 2010 door toedoen van de nationale recherche werd opgerold, is nog altijd voortvluchtig. De malware wist miljoenen machines wereldwijd te infecteren en werd bestuurd vanuit servers die bij het Nederlandse LeaseWeb waren ondergebracht. In oktober trok de nationale recherche letterlijk de stekker uit het botnet. Een Armeense man, Gregory A, die verdacht werd van exploitatie van het botnet, kon een paar dagen later in Armenië worden aangehouden.

Dat is echter niet de enige verdachte. Uit gelekte gegevens blijkt dat een onbekende Russische man nauw betrokken is geweest bij de ontwikkeling en onderhoud van het botnet. De mysterieuze botnetbeheerder gaat schuil onder het alias 'Birdie', maar wie het werkelijk is of waar de man zich bevindt is onduidelijk.

Identiteit
"Hij was een handlanger van Gregory A.", zegt Pim Takkenberg, teamleider van de National High Tech Crime Unit, over Birdie. "We hebben hem nog steeds niet kunnen identificeren." Uit gelekte gegevens van Spamit, een beloningsprogramma voor spammers, blijkt dat Birdie en Gregory A. veel geld verdienden door spammers toegang tot Bredolab te geven.

Birdie zou ook achter een populair installatieprogramma voor spammers zitten. Daarmee konden spammers hun eigen spambotnets efficiënter exploiteren. Volgens security-blogger Brian Krebs zijn er sterke aanwijzingen dat Birdie inmiddels zijn installatieprogramma weer aan spammers aanbiedt.