一种在地下论坛出售的远程访问特洛伊木马（RAT）已演变为在受感染的计算机上保持持久性时滥用Tor，Sophos实验室的Sivagnanam Gn和Sean Gallagher透露对该恶意软件的持续研究，该恶意软件自2019年以来一直猖獗。

被称为SystemBC，RAT已经从一个虚拟专用网络（VPN）通过SOCKS5代理演变成后门，利用Tor网络建立持久性，并使跟踪连接的指挥和控制（C2）服务器变得更加困难，基于Windows的SystemBC恶意软件能够执行Windows命令、脚本部署、实施恶意DLL、远程管理和监控，并为操作员建立后门，将恶意软件连接到C2以接收命令。

Sophos实验室称，在过去一年中，SystemBC已经发展，功能也得到了增强，这使得包括勒索软件运营商在内的买家越来越受欢迎。

另请参见：您的电子邮件线程现在被QBot特洛伊木马程序劫持

，RAT会将自身复制并计划为服务，但如果检测到Emsisoft防病毒软件，则会跳过此步骤。然后，通过信标连接到远程服务器（地址在示例中有所不同）以及轻量级Tor客户端建立到C2的连接。

“SystemBC的Tor通信元素似乎基于mini Tor，这是一个开源库，用于与“Tor匿名网络，”研究人员指出mini-Tor的代码在SystemBC[…]中没有重复，但是bot对Tor客户端的实现与开源程序中使用的实现非常相似，包括它广泛使用了Windows Crypto Next Gen（CNG）API的基本加密（BCrypt）函数，SystemBC已经在“数百”次部署中被跟踪，包括最近的Ryuk和Egregor勒索软件攻击。该小组说，后门是在网络攻击者在这些攻击中获得服务器凭据后部署的，SystemBC作为一种有价值的持久性，与所使用的主要恶意软件毒株紧密相连。