NSA riktar in sig på användare av Tor-nätverket för att kompromettera deras onlineanonymitet. De använder tekniker som att utnyttja sårbarheter i Tor Browser Bundle och Firefox-webbläsaren. NSA identifierar Tor-användare genom omfattande internetövervakning och partnerskap med amerikanska telekomföretag, med hjälp av system som XKEYSCORE. Attackerna involverar omdirigering av användare till hemliga servrar, som FOXACID, för att infektera deras daTorer, ofta via "man-on-the-side"-attacker med system som QUANTUM. FOXACID fungerar som en "exploit orchestraTor" som kan leverera olika attacker och är utformad för att vara modulär för att anpassa sig till nya sårbarheter.