日本をターゲットとして注力して狙っているのか、メールテンプレートの変化が激しかったです。
また、世界的にみてもEmotetの活動が活発で、様々な変化がありました。

■日時
2019/12/09 16:00頃 - 2019/12/13

■sample

Emotet
https://app.any.run/tasks/dde3e916-a9f4-4b45-a87a-7d543c3528f4/

Trickbot
https://app.any.run/tasks/a7378f7b-e3b9-44aa-a5e2-02480a725cbb/

■変化

・12/06からの世界的な変化

世界的に、Emotetに感染させるメールが添付ファイル型だけでなく、本文リンクからdocファイルをダウンロードさせるリンク型メールも再開された。
docファイルの外見もこれまでのOpenOfficeの灰色・O365の青色の2パターンに加え、水色の計3パターンに変化。

・12/09 日本語のばらまきメールに以下の冬季賞与に関する件名が追加

■件名
払
届
払届
賞与
賞与支
賞与支払
賞与支払届
2019冬・業績賞与支給
月賞与
11月賞与
12月賞与
12.12月賞与関係会社請求について
19.12月賞与関係会社請求について
賞与支給に際しての社長メッセージ

■添付ファイル名
(件名のどれか).doc
※件名と同じではない

■送信者
会保険労務士法人

・12/10 日本語ばらまき件名の追加
AppleIDを騙ったものが確認される。

■件名
お使いのAppleStore-ID がロックされます．　サービス

■送信者
Apple Team

・12/11 日本語ばらまき件名の請求書関連の件名が増加

■件名
お支払い
11月の支払い
毎月の請求書
毎週の請求書
請求書
請求書の件です。
請求書送付のお願い
ご入金額の通知・ご請求書発行のお願い
請求書の送信
請求書ステータスの更新
表示用のアカウントの請求書

(英語版)
monthly invoice
weekly invoice
payment
invoice
payment for november

■本文

本文も件名のパターンの中からランダムで（件名と別になるケースが多い）選ばれる。

・12/13　リンク型メールのhtml形式化
リンク型メールで送られる場合にメールがHTML形式で送信される。
リンクの表示上がメール送信者のドメインで表示されており、あたかもメール送信者の組織のHPからファイルをダウンロードさせるようにしているように見せかけている。
実際のリンクは別のサイトであり、主に正規サイトが改ざんされてdocファイル置き場になっている。

・12/13　日本語件名のメールに出会い系のようなメールが追加される

■件名（例）
男に会います。15歳の女の子。
会いたいです。16歳の女の子。
15歳の女の子。

■送信者（例）
サオリ
アカネ
リオ