A particularidade deste malware é precisamente a capacidade de se comunicar via DNS em HTTPS, que foi um protocolo sugerido em outubro de 2018 e suportado por vários servidores públicos de DNS.
O objetivo deste protocolo é aumentar a privacidade dos utilizadores e segurança através da prevenção tanto do eavesdropping (ataque de engenharia social em que um atacante consegue observar o que a vítima escreve) como da manipulação dos dados de DNS, e este malware serve-se destas funcionalidades para conseguir esconder as comunicações com os servidores de comando e controlo (C&C), sendo o primeiro a servir-se deste protocolo para proteger a sua infraestrutura.
A nível mais técnico
Há um mecanismo de comunicação redundante resultado da combinação entre o dns hardcoded, o pastebin e o github assim como o DNS TXT, usados para armazenar o endereço do servidor C&C; ao mesmo tempo o HTTPS é usado para fazer download de ficheiros de código em Lua e o DNS no HTTPS para haver segurança na comunicação entre os bots, o servidor Web e o servidor C&C.
Fonte: https://www.bleepingcomputer.com/news/security/new-godlua-malware-evades-traffic-monitoring-via-dns-over-https/