Offenbar in dem Versuch, die Kommunikation ihrer Bots über das Netzwerk zu verschleiern, tarnt der Command&Control-Server des Monkif-Botnetzes seine Befehle an die Drohnen rudimentär als JPEG-Bild. Laut Beobachtungen von SecureWorks antwortet der als Webserver arbeitende C&C-Server auf Anfragen der Bots mit einem HTTP-Paket, in dessen Header als Content-Type "image/jpeg" eingetragen ist. Zusätzlich enthält das Paket einen gefälschten, jedoch gültigen JPEG-Header. Der Rest des Pakets enthält statt eines Bildes nur noch einen kodierten Befehl (XOR mit 0x4).