Bár a TOR infrastruktúra, valamint a kiberbűnözői források az internetet figyelő szervezetek látóterén kívül helyezkednek el, azonban a szakértőknek most sikerült 900 rejtett szolgáltatást azonosítani.
A TOR (The Onion Router) elsősorban egy korlátlan, szabad szoftver, amely az interneten keresztül működik. Egy olyan program, amellyel anonim módon folytathatunk online tevékenységeket, küldhetünk üzeneteket egymásnak – csakúgy, mint interneten keresztül. Azonban van egy fontos különbség. A TOR egyedülálló abban, hogy lehetővé teszi a felhasználók számára, hogy teljesen névtelenek maradjanak a tevékenységeik során. A hálózati forgalom teljesen névtelen: képtelenség azonosítani a felhasználó IP címét, amely lehetetlenné teszi a visszakeresését. Sőt a Darknet úgynevezett pszeudó domaint használ, amely megakadályozza, hogy eljussanak az erőforrás tulajdonosához.
Az utóbbi időben a kiberbűnözők elkezdték aktívan használni a TOR hálózatot, hogy még több rosszindulatú hálózatot építsenek ki. A Kaspersky Lab szakértői szerint a Zeusz-t (amely Tor képességekkel is bír) akkor találták mikor a ChewBacca–t is, amely az első TOR hálózatra támaszkodó androidos kártevő.
„A TOR hálózatban lévő C & C host szerverek nehezebbé teszik az azonosítást vagy a hálózat felszámolását. Habár létrehozni egy TOR kommunikációs modult egy rosszindulatú mintában extra munkát jelent, azt gondoljuk, hogy a jövőben meg fog növekedni a TOR-alapú minták száma, valamint a TOR támogatás is, a már létező rosszindulatú programokban.” - mondta Sergey Lozhkin, a Kaspersky Lab globális kutató és elemző csapatának vezető biztonsági kutatója.