卡巴斯基安全研究人員發現通過流行 YouTube 中文頻道傳播的惡意 Tor 瀏覽器。該頻道的訂閱者逾 18 萬，相關視頻的瀏覽量超過 6.4 萬次，視頻是在 2022 年 1 月上傳的，卡巴斯基的調查顯示最早的受害者是在 2022 年 3 月出現的。安全研究人員將此次攻擊命名為 OnionPoison，惡意版本的 Tor 瀏覽器為 torbrowser-install-win64-11.0.3_zh-cn.exe，沒有數字簽名，安裝程序用 Visual Studio 2003–7.10 SDK 編譯，其隱私設置比原版更弱，捆綁了惡意組件 freebl3.dll，原版也有該文件但惡意版已完全不同，瀏覽器禁用了更新以防止惡意版的 freebl3.dll 被覆蓋。freebl3.dll 會向 C2 服務器發送請求，C2 會判斷 IP 地址位置，如果在某個特定區域則會下載后續惡意負荷 cloud.dll 去收集更多信息。收集的信息包括安裝軟件、運行進程、Tor 瀏覽器歷史、Google Chrome 和 Edge 瀏覽器歷史，微信和 QQ ID，Wi-Fi 網絡的 SSID 和 MAC，等等。