Transmitir cualquier dato dentro de un archivo de audio reproducible ya es una esteganografía por definición. Los seres humanos normalmente no inspeccionan los bytes dentro de un archivo de audio, por lo que cualquier información que se almacene y evade la detección en el uso normal se oculta, independientemente de si la clasifica como malware.
Otras técnicas de malware comunes utilizadas para evadir la detección, como el polimorfismo y el cifrado, pueden contribuir al enmascaramiento de los datos ocultos, pero no son necesariamente una esteganografía.
No sé si lo consideraría una esteganografía si los datos se colocaran simplemente en una etiqueta ID3 en un archivo MP3, porque esas etiquetas existen para que un humano las vea y use (con las herramientas adecuadas, por supuesto). Pero si la mayor parte de los datos maliciosos estuvieran codificados en la música en sí (como algunas de las tecnologías de marca de agua), eso sin duda calificaría como esteganografía como lo entiendo.
Para el caso, los datos podrían ocultarse esteganográficamente en la imagen JPG incrustada de la portada del álbum, y eso encajaría en casi todas las definiciones que hay.