מעבדת קספרסקי הודיעה כי במסגרת מחקר חדש הקשור לכלי הריגול Flame, התגלה כי קיימות עוד שלוש גרסאות חדשות של הקוד הזדוני וכי Flame עצמו פותח עוד בשנת 2006. המחקר נערך בשיתוף IMPACT, זרוע אבטחת המידע שלInternational Telecommunication Union (ITU), CERT-Bund/BSI וחברת האבטחה סימנטק ובמסגרתו נותחו מספר שרתי פיקוד ושליטה (C&C) שהופעלו בידי יוצרי ה-Flame. הניתוח העלה עובדות חדשות ופורצות דרך על שיטת הפעולה של ה-Flame.
וירוס ה- Flame דווח לראשונה על ידי מעבדת קספרסקי במאי 2012, אחרי שזוהה ונחקר בעקבות פניה של ארגון ITU לחברת אבטחת המידע. מורכבות הקוד וקשרים שהתגלו במרוצת החודשים למפתחי ה- Stuxnet הצביעו על האפשרות כי Flame הוא דוגמא נוספת לכלי ריגול שפותח במימון מדינה. במקור העריכו כי הוירוס נוצר בשנת 2010, אך הניתוח האחרון מראה כי עבודת הפיתוח של פלטפורמת ה-Flame החלה בדצמבר 2006.
הניתוח התבסס על נתונים שחולצו משרתי הפיקוד של Flame, וזאת למרות שהשרתים יצאו מפעולה לאחר חשיפת ה-Flame. כל השרתים הריצו גרסה של 64 ביט של מערכת ההפעלה Debian, ווירטואליזציה של OpenVZ. רוב הקוד בשרתים נכתב ב- PHP. כדי להסתיר את טיבו של הפרויקט מצד ספק האחסון, נקטו יוצרי Flame במספר אמצעים כדי להסוות את השרתים מאחורי מערכת ניהול תוכן רגילה.
יוצרי ה-Flame נקטו בשיטות הצפנה מתוחכמות , שלא אפשרו לאף גורם – למעט הם עצמם - לשלוף מידע מהמחשבים הנגועים. הניתוח של הקוד בו השתמשו כדי לטפל בשידורי מידע אל המחשבים הנגועים, חשף ארבעה פרוטוקולי תקשורת שונים, שרק אחד מהם היה תואם ל- Flame. המשמעות היא שלפחות 3 סוגי קוד זדוני פעלו על אותה פלטפורמת פיקוד ושליטה. יש מספיק ממצאים המצביעים על כך שלפחות קוד זדוני אחד עדיין פעיל. הקוד הזדוני עצמו עדיין לא התגלה.