8月19日以降、匿名通信システム「Tor」への接続ユーザ数が著しく増加しており、この急増の要因についてさまざまな憶測が飛び交っている。トレンドマイクロでは、この急激な増加はボットネットによってTorネットワークが悪用されたのが原因であると判断している。

同社は8月最終週から9月初めにかけて、不正プログラム「Mevade」がTorのモジュールをダウンロードしていることを突き止めた。Torにおける匿名化されたサービスを停止することは事実上不可能とされており、攻撃者はC&C(コマンド&コントロール)サーバーを隠すためにTorを利用したものと同社は分析している。

オランダのセキュリティベンダーであるFOX-ITも、9月5日に「Mevadeと呼ばれる不正プログラムが、おそらく自身のC&C通信用のバックアップとしてTorのコンポーネントをダウンロードしていた」と言及したという。

トレンドマイクロは、攻撃者はTorによってMevadeの活動を隠匿しようとしたが、自身の身元を「匿名化」することに関して注意が足りなかったとしている。同社の分析では、攻撃者はウクライナのハリコフ市やイスラエルを拠点にして2010年頃から活動しており、主要メンバーの1人は「Scorpion」として知られているという。

また、アドウェアのインストールや検索結果を乗っ取る攻撃に関しても、同一の攻撃者が深く関与している可能性があるという。彼らの金銭獲得の手段の1つとして、Mevadeで構成されるボットネットが使われ、感染したPC上へのアドウェアやツールバーのインストールによって実行されているものと推測されている。

アドウェアや不審なツールバーは、情報収集型不正プログラムのような脅威に比べて危険性が小さいと思われがちだが、不正な広告が発端として大金が生み出されている現実もある。

トレンドマイクロでは、Mevadeがバックドア機能や、SSH通信を経由して外部のホストサーバーと通信する機能を備えていることにも注目。これは、情報収集機能を備えている可能性が非常に高いことを示している。