surtout qu'on peut aisément analyser le traffic

De l'extérieur de la machine, oui.
De l'intérieur, pas forcément, à cause des rootkits mode kernel qui pourraient injecter et récupérer directement des paquets là où ça va bien pour ne pas être détecté par les méthodes de capture courantes - et justement, il y a une partie du driver qui tourne en mode kernel.

(Mais le fait qu'ils utilisent un rootkit pour cacher les communications est encore plus improbable que le fait qu'ils fassent des communications )