Podle výzkumu organizace Citizen Lab, která pracuje na půdě University of Toronto, docházelo v Egyptě státním podnikem Telecom Egypt za pomocí zařízení využívajících technologii DPI (hloubková analýza paketů) k přesměrování návštěvníků určitých webových stránek na malware zobrazující reklamy nebo využívající počítače návštěvníků k těžbě monera. Tato zařízení měla dodat kanadská firma Sandvine, která však obvinění popřela. V Turecku pak za pomocí státního podniku Turk Telecom mělo docházet podobným způsobem k infekci vládním spywarem u uživatelů, kteří stahovali legální software některých známých společností.
Podle zjištění Citizen Lab návštěvníci webů se zabezpečeným připojením (https) stahovali software například od Opery nebo Avast Antivirus. Při stahování však byli automaticky přesměrováni na nezabezpečené připojení (http), což mělo za následek přesměrování na verze programů, které byly svázané se spywarem. K tomu docházelo za pomocí nástroje hloubkové analýzy paketů (DPI), kdy poskytovatel internetu může u nezabezpečeného připojení manipulovat s daty mezi uživatelem, na kterého se cílí a webovou stránkou kterou navštěvují. Výsledkem je, že uživatel obdrží z internetové sítě falešnou odpověď, která jej může přesměrovat na spyware. Podle Google zhruba 20-30 % webového provozu ve Spojených státech stále využívá nezabezpečené připojení.
V Egyptě podobným způsobem docházelo k zneužívání výpočetního výkonu počítačů zasažených uživatelů pro těžbu kryptoměny monero. Existovaly dva scénáře. Buďto byl prohlížeč uživatelů přesměrován při návštěvě jakékoliv stránky na reklamní síť nebo malware pro těžbu kryptoměny monero, Coinhive. Druhou možností bylo přesměrování webového provozu při návštěvě konkrétních stránek, mezi nimi například pornostránky Babylon-X. Uživatelé v tomto případě byli přesměrovávání neustále. Citizen Lab se domnívá, že účelem byl pouze peněžní zisk. Stát se tak obohacoval na úkor uživatelů internetu přípojených přes egyptské poskytovatele internetových služeb.