在Flame惡意程序上周曝光之后，幕后攻擊者立即關(guān)閉了80多個(gè)命令控制服務(wù)器。服務(wù)器域名是采用化名注冊，每個(gè)化名最多注冊4個(gè)域名。上傳到服務(wù)器的數(shù)據(jù)包括了計(jì)算機(jī)輔助軟件繪制圖紙、電子郵件和PDF文檔。

域名最早注冊時(shí)間是在2008年，使用至少22個(gè)不同IP地址，服務(wù)器運(yùn)行Ubuntu Linux發(fā)行版?？ò退够cGoDaddy和OpenDNS合作，將域名重定向到其控制的服務(wù)器上，收集到了惡意程序上傳的數(shù)據(jù)。

安全研究人員發(fā)現(xiàn)，F(xiàn)lame和Duqu有許多共同特征，都對受感染機(jī)器上的AutoCAD繪圖文件感興趣。為了限制竊取的文件數(shù)量和避免上傳無關(guān)的文件，F(xiàn)lame會從PDF、電子表格和Word文檔中提取1KB樣本，壓縮和上傳樣本到命令控制服務(wù)器，然后攻擊者發(fā)出指令抓取他們感興趣的特定文檔。

與Duqu不同之處是，Duqu會利用SSH端口轉(zhuǎn)發(fā)偽裝攻擊者的真實(shí)身份，而Flame則是直接上傳到服務(wù)器，換句話說，它的幕后攻擊者沒有Duqu的操作者謹(jǐn)慎。