以下のURLへ誘導するメールが9/17頃に出ていたようです。
※自分で稼働を確認はしていないが、AnyRunで動作しているものを確認。
メールの返信に添付ファイルとしてhtml形式のファイルが添付され、その中のリンクからファイルをダウンロードするように誘導するものです。
調査すると、約3ヶ月前から行われていたようです。

■URL
hxxp://viewdocument.svaultz[.]com
※同一IPに紐づくドメインは同一の動作を行う
アクセスすると301で「もっと詳しくの情報はこちら.zip」がダウンロードされます。

その中に含まれるjsは以下のマルウェアを取得、実行します。
hxxp://viewdocument.johnsendim[.]com/jhjsd38.bin

ダウンロードされるマルウェアはUrsnif/Dreambotです。
MD5: 8f42a1f85bf5a9d0f253f3d211e42259

（参考）
https://app.any.run/tasks/cb1e3301-1ee5-46b5-83ea-193a813d067f/
https://app.any.run/tasks/5fa46331-3326-4cfd-81af-76410f902303

■コンフィグ
key=s4Sc9mDb35Ayj8oO
soft=1&version=217027&server=12&id=1011