{
	"id": "3420180d-b251-4634-bd51-e3dbd9bc30cb",
	"created_at": "2026-04-06T00:13:24.621673Z",
	"updated_at": "2026-04-10T03:22:11.922346Z",
	"deleted_at": null,
	"sha1_hash": "d290871e3b3e74050c9ee9e09448e06fd862867d",
	"title": "La Botnet De EMOTET Reinicia Ataques En Chile Y LATAM | CronUp Ciberseguridad",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 981856,
	"plain_text": "La Botnet De EMOTET Reinicia Ataques En Chile Y LATAM |\r\nCronUp Ciberseguridad\r\nBy Departamento De Comunicaciones\r\nPublished: 2021-11-19 · Archived: 2026-04-05 22:34:50 UTC\r\nResumen Ejecutivo\r\nEn enero de 2021 la botnet de Emotet, una de las ciberamenazas más importantes del mundo, fue desmantelada en\r\nun esfuerzo en conjunto de multiples países y fuerzas policiales, sin embargo, 10 meses despues y luego de que las\r\nautoridades realizaran una desinstalación masiva del malware a nivel mundial, Emotet vuelve a mostrar signos de\r\nvida y la reconstrucción progresiva de su botnet a través de uno de sus más fieles colaboradores como es Trickbot.\r\nSegún la gente de Advanced Intelligence el regreso de Emotet ha sido tramado por un ex miembro de Ryuk, ahora\r\nparte de la pandilla de Conti, con la finalidad de dar soporte a los próximos ataques de Ransomware.\r\nJunto a lo anterior, hemos podido evidenciar que Emotet ya se encuentra enviando campañas masivas de phishing\r\na países en Latinoamérica como Perú, México, Paraguay, Uruguay, Colombia, Panamá, Ecuador, Argentina, El\r\nSalvador y porsupuesto Chile, entre otros.\r\nEsto también lo hemos podido confirmar con terceros como en este Tweet de TG Soft\r\nY en este análisis de Brad Duncan\r\nActualmente Emotet cuenta con dos infraestructuras independientes que son parte de la misma botnet, a estas\r\ninfraestructuras se les llama Epoch, y su caracteristica principal es que permiten a la botnet desplegarse de forma\r\nmodular y mantener el control en el caso de que alguna de estas caiga.\r\nEpoch 4 y Epoch 5 son las que se encuentran activas y ambas han comenzado a enviar campañas masivas de\r\nphishing a Latinoamérica y múltiples países alrededor del mundo.\r\nAl momento de escribir esta alerta, CronUp ha confirmado tres incidentes en Chile por\r\ninfección con este Malware.\r\nEs importante recordar que un compromiso por Emotet en la red corporativa puede\r\nderivar a un ataque de Ransomware.\r\nDistribución del Malware\r\nEmotet se distribuye a través de correos electrónicos, utilizando para ello miles de cuentas SMTP comprometidas\r\ny suplantando a contactos conocidos o de confianza. En campañas anteriores también hemos visto el secuestro o\r\nrobo de cadenas de correos, algo que seguramente veremos también muy pronto.\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 1 of 7\n\nEn la actualidad, el correo malicioso trae un archivo adjunto protegido con contraseña, lo que dificulta el análisis\r\nautomatizado de algunas herramientas de seguridad y que en conjunto a los servidores SMTP que utilizan\r\n(organizaciones válidas) permite a los atacantes tener una mayor tasa de éxito.\r\nA continuación, un ejemplo del correo Phishing.\r\nEl archivo .ZIP trae un documento Microsoft Office en su interior, el que puede tener extensión .DOC, .DOCM o\r\n.XLSM entre otras. También se han visto casos donde el adjunto es directamente el documento de MS Office y en\r\nun pasado también lo hicieron con un link en el cuerpo del correo para la descarga del documento.\r\nAl abrir el documento y habilitar la edición, se activa la macro y el proceso de infección del equipo. La imagen a\r\ncontinuación es una de las plantillas utilizadas actualmente pero pueden ser otras también.\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 2 of 7\n\nLa macro del documento ejecuta Powershell para realizar la descarga del payload final (DLL de Emotet) desde 1\r\nde los 7 sitios distintos que vienen configurados en el documento Microsoft Office.\r\nAl visitar una de estas URLs se puede apreciar la descarga de la DLL de Emotet.\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 3 of 7\n\nEn este punto, luego de registrar la DLL, Emotet ha logrado infectar y compromer efectivamente el equipo y\r\nagregarlo a la red de computadores zombie que forman parte de la Botnet.\r\nHerramientas y recursos\r\n1.- EmoCheck, es una herramienta para la detección de Emotet en sistemas operativos Windows que ha sido\r\ndesarrollada por el CERT de Japón: https://github.com/JPCERTCC/EmoCheck\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 4 of 7\n\n2.- HaveIBeenEMOTET, es un portal desarrollado por TG SOFT para detectar si un correo o dominio está en la\r\nbase de datos de SPAM de Emotet: https://www.haveibeenemotet.com/\r\n* Si, incluso Google ha sido víctima de Emotet.\r\n3.- CyberChef, es una aplicación web para la encriptación, codificación, compresión y análisis de datos. Gracias a\r\nla información compartida por la gente de Cryptolaemus1 y Kostastsale hemos podido ajustar una nueva receta o\r\n«Recipe» que extrae las URLs de los documentos maliciosos (funcionando al 19-11-2021).\r\nUtilizar desde tinyurl.com/EmotetURLs (solo debes dejar caer el documento en «Input»)\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 5 of 7\n\nIndicadores de Compromiso\r\nLa mejor forma de protegerse frente a esta ciberamenaza es:\r\n1.- Siguiendo al equipo de Cryptolaemus1 quienes estudian y exponen las nuevas técnicas, tácticas y\r\nprocedimientos de estos atacantes.\r\n2.- Actualizando regularmente las listas de bloqueo (C2) que disponibiliza Abuse.ch desde\r\nhttps://feodotracker.abuse.ch/browse/emotet/\r\nEl listado actual de servidores de comando y control activos es:\r\n122.129.203.163\r\n31.220.49.39\r\n191.252.196.221\r\n202.29.239.161\r\n185.184.25.237\r\n103.161.172.108\r\n93.188.167.97\r\n163.172.50.82\r\n45.79.33.48\r\n210.57.217.132\r\n177.72.80.14\r\n51.178.61.60\r\n142.4.219.173\r\n168.197.250.14\r\nReferencias\r\nhttps://www.cronup.com/emotet-esta-de-regreso-gracias-a-la-ayuda-de-trickbot/\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 6 of 7\n\nhttps://www.advintel.io/post/corporate-loader-emotet-history-of-x-project-return-for-ransomware\r\nhttps://isc.sans.edu/diary/28044\r\nhttps://www.malware-traffic-analysis.net/2021/11/18/index.html\r\nhttps://therecord.media/emotet-botnet-returns-after-law-enforcement-mass-uninstall-operation/\r\nhttps://security-soup.net/quick-post-emotet-the-mummy-returns-again/\r\nhttps://www.bleepingcomputer.com/news/security/emotet-malware-is-back-and-rebuilding-its-botnet-via-trickbot/\r\nIremos actualizando este reporte a medida que se identifiquen cambios significativos en esta amenaza. Recuerden\r\nbloquear regularmente los nuevos C2 para mantenerse protegidos.\r\nThreat Intelligence Team\r\nCronUp Ciberseguridad\r\n© 2026 CronUp Ciberseguridad. Todos los derechos reservados. Este contenido está protegido por la Ley Nº\r\n17.336. Se permite su uso informativo citando la fuente y enlazando el artículo original. Su reproducción o uso sin\r\natribución constituye infracción.\r\nSource: https://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nhttps://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/\r\nPage 7 of 7",
	"extraction_quality": 1,
	"language": "ES",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://www.cronup.com/la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica/"
	],
	"report_names": [
		"la-botnet-de-emotet-reinicia-ataques-en-chile-y-latinoamerica"
	],
	"threat_actors": [],
	"ts_created_at": 1775434404,
	"ts_updated_at": 1775791331,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/d290871e3b3e74050c9ee9e09448e06fd862867d.pdf",
		"text": "https://archive.orkl.eu/d290871e3b3e74050c9ee9e09448e06fd862867d.txt",
		"img": "https://archive.orkl.eu/d290871e3b3e74050c9ee9e09448e06fd862867d.jpg"
	}
}