En mystisk hotaktör, spårad som kax17, har sedan minst 2017 drivit tusentals skadliga servrar inom Tor-nätverket i ett försök att avanonisera användare. På sin topp drev kax17 över 900 skadliga servrar som fungerade som in-, mellan- och utgångspunkter i Tor-nätverket. Syftet med dessa skadliga servrar var att kompromettera användares integritet och anonymitet genom att avlyssna trafik. Trots regler om att Tor-servrar ska inkludera kontaktinformation, läggs många till utan detta, vilket försvårar övervakning och rapportering av missbruk.