在Flame惡意程序上周曝光之后，幕后攻擊者立即關閉了80多個命令控制服務器。服務器域名是采用化名注冊，每個化名最多注冊4個域名。上傳到服務器的數據包括了計算機輔助軟件繪制圖紙、電子郵件和PDF文檔。

域名最早注冊時間是在2008年，使用至少22個不同IP地址，服務器運行Ubuntu Linux發行版。卡巴斯基與GoDaddy和OpenDNS合作，將域名重定向到其控制的服務器上，收集到了惡意程序上傳的數據。

安全研究人員發現，Flame和Duqu有許多共同特征，都對受感染機器上的AutoCAD繪圖文件感興趣。為了限制竊取的文件數量和避免上傳無關的文件，Flame會從PDF、電子表格和Word文檔中提取1KB樣本，壓縮和上傳樣本到命令控制服務器，然后攻擊者發出指令抓取他們感興趣的特定文檔。

與Duqu不同之處是，Duqu會利用SSH端口轉發偽裝攻擊者的真實身份，而Flame則是直接上傳到服務器，換句話說，它的幕后攻擊者沒有Duqu的操作者謹慎。