TOR-baserade botnät har ökat under sommaren 2013, vilket försvårar utredningar och spårning av C&C-servrar på grund av TOR:s anonymitet. Två specifika malwarefamiljer, Win32/Atrax.A och Win32/Agent.PTA, har identifierats som använder TOR:s dolda tjänsteprotokoll för smygande kommunikation med sina C&C-servrar. Win32/Atrax.A är en komplex bakdörr som använder AES-kryptering för sina plugins med en unik nyckel per infekterad maskin, och har funktioner för att stjäla formulärdata och lösenord. Win32/Agent.PTA, en äldre trojan, har nyligen uppdaterats med TOR-baserad kommunikation och inkluderar en enkel formulärgrabbare samt förmågan att aktivera en SOCKS5-proxy. Trots utmaningarna med TOR-baserade botnät har analys av kommunikationsprotokoll visat att traditionella analysmetoder fortfarande kan ge insikter om botnätens funktionalitet.