很可能与埃及政府有关联的黑客组织使用官方应用商店 Google Play 去传播间谍应用，他们针对的目标包括记者、律师和反对派政客。安全公司 Check Point Technologies 披露，黑客组织使用的一个间谍应用叫 IndexY，主要功能是查询电话号码，它需要的一个权限是访问呼叫历史和联络人，虽然权限敏感，就其功能而言似乎是合理的。然而在背后它记录了每一次呼入呼出的电话，以及日期和时间。应用硬编码了域名 indexy[.]org，该域名上的文件显示开发者积极的收集和分析呼叫信息。在被下架之前它的安装量大约 5000 次。Check Point  认为黑客组织使用了至少三种间谍应用，另外两种是 iLoud 200% 和 v1.apk。

卡巴斯基研究人员曝光了一个与乌兹别克斯坦国家安全局有关联的黑客组织，原因是该黑客组织在安装有卡巴斯基杀毒软件的机器上测试恶意程序。乌兹别克斯坦不以网络间谍能力著称，但它的国安局有足够的钱去购买商业间谍软件。卡巴斯基称，乌兹别克斯坦购买了以色列公司 NSO Group 和 Candiru 开发的间谍软件。然而除了有钱外，乌兹别克斯坦的黑客组织看起来缺乏基本的常识。黑客组织不停的购买各种 0day 漏洞，但拿到了储存恶意程序的 U 盘之后他们就将其插到了安装卡巴斯基的机器上，卡巴斯基自动将恶意程序样本上传到了它的服务器上，而上传的域名关联到了国安局。

俄罗斯安全公司卡巴斯基报告，一个从事网络间谍活动的黑客组织通过修改浏览器为 TLS 加密流量加入了可跟踪的指纹。黑客利用远程访问木马 Reductor 感染受害者，修改了系统上的浏览器 Chrome 或 Firefox。这一过程涉及到两步：黑客首先为被感染的主机安装了数字证书，使其能拦截来自主机的任何 TLS 加密流量；其次，他们为系统上安装的 Chrome 或 Firefox 打上了自己的伪随机数生成器。随机数生成器被用于在建立安全连接时产生随机数。黑客利用被修改的随机数生成器为每一个 TLS 连接加入了指纹。被称为 Turla 的组织被认为与俄罗斯政府有关联。