Een groep cyberspionnen gebruikt al twee jaar een techniek waarbij ze uitgaand verkeer van besmette systemen via het Tor-netwerk vermommen. De techniek heet 'domain fronting', waarbij het uitgaande verkeer naar populaire webdiensten zoals die van Google lijkt te gaan, terwijl het verkeer in werkelijkheid naar de servers van de aanvallers gaat. De groep cyberspionnen, aangeduid als APT29, gebruikt hiervoor de Tor-plug-in Meek.

Meek creëert een versleutelde netwerktunnel die naar Google lijkt te gaan. De tunnel biedt aanvallers de mogelijkheid om via Terminal Services (TS), NetBIOS en Server Message Block (SMB) toegang tot het systeem te krijgen, terwijl het om verkeer naar legitieme websites lijkt te gaan. De aanvallers gebruiken daarnaast een veel voorkomende Windows-exploit om zonder in te loggen een command shell met verhoogde rechten te krijgen.

Volgens het Amerikaanse beveiligingsbedrijf FireEye is APT29 een groep Russische staatshackers die domain fronting al lang gebruikt voordat deze techniek algemeen bekend werd. "Door het gebruik van een publiek beschikbare implementatie konden ze met minimaal onderzoek of ontwikkeling hun netwerkverkeer verbergen", zegt onderzoeker Matthew Dunwoody. Hij merkt op dat organisaties die dergelijke aanvallen willen detecteren inzicht in versleutelde verbindingen en de endpoints zelf moeten hebben, alsmede over effectieve netwerksignatures moeten beschikken.