WOAO.
Un malware utilise le résolveur DNS chiffré de Google (DNS-over-HTTPS) pour transférer une payload vers le client, maquillée en signature DKIM dans la réponse DNS.  
Pas con du tout: Aucun admin réseau ne va s'amuser à filtrer le domaine google.com.
Et le botnet peut ainsi transférer des données customisées en fonction de l'IP du client, le tout en passant par le domaine de Google.
En l'occurrence, la payload contient des adresses IP de serveurs de contrôle (ce qui permet à l'attaquant de changer dynamiquement ses serveurs de contrôles).