表2のマルウェアβの説明の最後に「攻撃者が遠隔操作できる状態を維持する」とありますが、これはマルウェア端末からC&Cサーバに常に通信を行って、いつでもコネクトバック通信をできるようにしているという解釈で合ってますでしょうか?

「攻撃者が遠隔操作できる状態を維持する」方法ですが、具体的な方法は
問の文章からは情報がないため判別できないと思われます。

推測ですが、スレ主様想定のようにPCやサーバからセッションを開いて
C&Cサーバと定期的に通信（1分に一回程度？）行っているのではと想定されます。
その時に利用されるプロトコルはHTTPやDNSになると考えられます。

ご回答ありがとうございました。

問題に具体的な説明が無かったので、コネクトバック通信以外の何か他の方法で行われているのかも...とあまり自分の解釈に自信が無くて質問した次第でした

解釈が合ってるようでよかったです！ありがとうございました！