虽然 Emotet 感染充当了传播 Cobalt Strike、IcedID、Qakbot、Quantum 勒索软件和 TrickBot 的渠道，但它在 2021 年底的回归是由 TrickBot促成的。

“Emotet 以长期不活动而著称，通常每年发生多次，僵尸网络保持稳定状态但不传送垃圾邮件或恶意软件，”Secureworks 在其参与者简介中指出。

滴管恶意软件通常通过包含恶意附件的垃圾邮件进行分发。但随着微软采取措施阻止下载的 Office 文件中的宏，OneNote 附件已成为一种有吸引力的替代途径。

Malwarebytes在新的警报中透露:“OneNote 文件很简单，但通过伪造的通知表明该文档受到保护，对社会工程用户来说却很有效。” “当指示双击“查看”按钮时，受害者会无意中双击嵌入的脚本文件。”

Windows 脚本文件 (WSF) 旨在从远程服务器检索和执行 Emotet 二进制负载。Cyble、IBM X-Force和 Palo Alto Networks Unit 42也证实了类似的发现。

也就是说，Emotet 仍然继续使用包含宏的诱杀文档来传递恶意负载，使用社会工程诱饵来诱使用户启用宏来激活攻击链。

根据Cyble、Deep Instinct、Hornetsecurity和Trend Micro的多份报告，此类文件已被观察到利用一种称为解压炸弹的技术在 ZIP 存档附件中隐藏一个非常大的文件（超过 550 MB）以在雷达下飞行。

这是通过在文档末尾填充 00 字节来人为增大文件大小以超过反恶意软件解决方案强加的限制来实现的。

最新的发展表明运营商在切换附件类型以进行初始交付以逃避检测签名方面具有灵活性和敏捷性。它还出现在威胁行为者使用OneNote 文档分发各种恶意软件（例如 AsyncRAT、Icedid、RedLine Stealer、Qakbot 和 XWorm）的激增之际。据Trellix称，2023 年大多数恶意 OneNote 检测报告发生在美国、韩国、德国、沙特阿拉伯、波兰、印度、英国、意大利、日本和克罗地亚，制造业、高科技、电信、金融和能源成为最受关注的行业。