网络安全公司卡巴斯基与赛门铁克针对Flame木马进行深入的研究发现，其背后的开发者可能还另有三只恶意软件未被发现。另外根据Flame木马的控制服务器记录，该木马可能自2006就已开发，受害的计算机数量可能上万，非仅先前发现的数百部。

卡巴斯基五月底发现Flame木马之后，协同联合国国际电信联盟（ITU）的资安团队IMPACT、德国联邦信息安全局（BSI）安全与计算机紧急反应小组（CERT –Bund）及网络安全公司赛门铁克，共同研究该木马的细节。

在分析一台位于欧盟某数据中心的木马控制服务器时，发现该服务器采标准的LAMP（Linux操作系统、Apache网页服务器、MySQL数据库及PHP脚本语言）架构。但该服务器的文件系统使用OpenVZ，不能查看黑客删除了哪些档案，并使用自制软件抹除记录，因此在分析上增加不少困难。不过幸好黑客所制作的灭迹软件并分完美，例如因为拼错字而让灭迹软件无法找到该删除的档案，因此研究人员可以找到不少信息。

经过分析之后，卡巴斯基认为Flame木马客户端所使用的通讯协议有四种，目前只辨识出Flame木马所使用的FL协议，其他三种未知的协议IP、SPE、SP可能代表另外三种木马。他们也发现，Flame木马还在发展当中，因为这四种协议对应到服务器端的三个通讯模块，但服务器中还有一个新的通讯模块还未被用到。

最令分析人员意外的是，这些黑客在程序中留有署名及时间戳，研究人员总共找出有四个黑客，并按照其程序设计的分工判断每个人的职责。而藉由时间戳，分析人员认为Flame木马早从2006年就开始研发，远早于先前网络安全公司的估算。

另外，由于黑客没有删除联机记录，网络安全公司得以分析哪些IP与该服务器联机过，进而得知伊朗有3702台计算机受感染。专家估计，Flame木马的受害者应该有一万以上，远超过刚发现时已知的382台。

先前有媒体报导，Flame等多种中东地区的木马是由美国与以色列连手开发，这几种木马各自有专精的领域。研究单位也发现Flame与Stuxnet两种木马之间有直接关连。