¿Emotet era un troyano bancario o un loader?

Ambas cosas, en distintas etapas de su evolución. Emotet comenzó en 2014 como un troyano bancario diseñado para robar credenciales financieras mediante web injects. A partir de 2017 se transformó en un loader y plataforma de distribución de malware como servicio (MaaS). En su etapa madura (2018-2020), Emotet ya no robaba credenciales bancarias por sí mismo. Su función principal era establecer acceso inicial en las víctimas y vender ese acceso a otros operadores de malware, principalmente TrickBot y QakBot.

¿Qué fue la Operation Ladybird y cómo desmantelaron Emotet?

La Operation Ladybird fue una operación coordinada por Europol y Eurojust el 27 de enero de 2021, con participación de policías de ocho países: Alemania, Países Bajos, Estados Unidos, Reino Unido, Francia, Lituania, Canadá y Ucrania. Las autoridades tomaron el control de cientos de servidores de comando y control de Emotet distribuidos en más de 90 países. Lo más innovador fue que, tras tomar la infraestructura, distribuyeron una actualización a todos los bots activos que desinstalaba Emotet de las máquinas infectadas el 25 de abril de 2021. La infraestructura en Ucrania fue desmantelada físicamente, con detenciones e incautación de equipos.

¿Qué relación tenía TrickBot con el ransomware Ryuk y Conti?

TrickBot actuaba como la fase intermedia de la cadena de infección. Tras ser desplegado por Emotet, TrickBot realizaba reconocimiento de red, robaba credenciales con Mimikatz, se propagaba lateralmente usando EternalBlue, y finalmente desplegaba Cobalt Strike para el control remoto. El grupo Wizard Spider, operador de TrickBot, era también responsable del ransomware Ryuk (2018-2021) y su sucesor Conti (2020-2022). La cadena completa era: Emotet (acceso inicial) a TrickBot (post-explotación) a Cobalt Strike (C2) a Ryuk/Conti (cifrado y extorsión).

¿Qué es el email thread hijacking y por qué era tan efectivo?

El email thread hijacking (secuestro de hilos de correo) era la técnica de ingeniería social más avanzada de Emotet. Cuando Emotet infectaba una máquina, robaba el contenido completo del buzón de Outlook de la víctima, incluyendo conversaciones reales con nombres, asuntos, cuerpos de mensaje y adjuntos. Después, los operadores generaban respuestas falsas a esos hilos reales, insertando un documento malicioso con macros. El destinatario recibía lo que parecía una respuesta legítima de un contacto conocido, en una conversación que reconocía. Las tasas de apertura de estos emails eran significativamente más altas que el phishing genérico.

¿Emotet volvió después de ser desmantelado en 2021?

Sí. Emotet resurgió en noviembre de 2021, apenas diez meses después de la Operation Ladybird. La infraestructura fue reconstruida utilizando la botnet de TrickBot como mecanismo de distribución inicial, invirtiendo la relación original. El Emotet reconstruido incorporó nuevas técnicas de evasión, pero nunca recuperó la escala de su etapa anterior. En 2022 y 2023 mostró actividad intermitente con campañas más pequeñas. Para 2024 la actividad de Emotet era prácticamente inexistente, reemplazado en el ecosistema por otros loaders como Pikabot y DarkGate.

Avanzadohistorialoadertrojanbotnetransomwarebanking-trojanmalware-as-a-service

Emotet, TrickBot y la Cadena de Infección Moderna (2018-2020)

Entre 2018 y 2020, Emotet, TrickBot y Ryuk formaron la cadena de infección más devastadora de la historia del cibercrimen. Un email robado, un documento con macros, tres capas de malware y un rescate millonario: así funcionaba la triple amenaza que definió el modelo de ataque moderno.

MalwareIntel Research·20 de mayo de 2026·14 min lectura·4 técnicas ATT&CK

Serie: Historia del Malware — Parte 18

El email que ya conocías

En algún momento entre 2018 y 2020, un empleado de hospital, una firma de abogados o una empresa de manufactura abrió un email. El asunto era familiar: una respuesta a una conversación que ya existía. El remitente era un contacto conocido. El cuerpo del mensaje continuaba un hilo real. Solo había un detalle nuevo: un documento Word adjunto con el texto "Por favor, revise el documento adjunto".

El empleado abrió el archivo. Microsoft Word mostró un banner amarillo pidiendo habilitar las macros. El empleado hizo clic en "Habilitar contenido". En ese momento, sin ninguna señal visible, se activó una cadena de infección que en los días siguientes podía cifrar toda la red corporativa y exigir un rescate de millones de dólares.

Esa cadena tenía tres eslabones: Emotet como punto de entrada, TrickBot como herramienta de post-explotación, y Ryuk o Conti como payload final de ransomware. Europol la llamó "la amenaza de malware más peligrosa del mundo". No era exageración.

Emotet: del troyano bancario al distribuidor universal

Orígenes (2014-2016)

Emotet apareció por primera vez en junio de 2014, detectado por Trend Micro en campañas dirigidas a clientes bancarios en Alemania y Austria. En esa primera versión, Emotet era un troyano bancario clásico: se distribuía por email, se instalaba en el sistema y usaba técnicas de web inject para interceptar credenciales de banca online cuando la víctima accedía a su entidad financiera.

La primera versión era relativamente simple. Usaba archivos de configuración descargados de servidores C2 que definían qué sitios bancarios atacar y qué campos del formulario capturar. La comunicación con el servidor C2 usaba HTTP sin cifrado robusto.

La transformación (2017-2018)

A partir de 2017, Emotet abandonó progresivamente las funciones de troyano bancario y se transformó en algo mucho más rentable: una plataforma de distribución de malware como servicio (Malware-as-a-Service, MaaS). Los operadores de Emotet, identificados por la industria como el grupo Mealybug (también conocido como TA542 por Proofpoint), descubrieron que podían ganar más dinero vendiendo acceso a las máquinas infectadas que robando credenciales bancarias directamente.

La arquitectura de Emotet se volvió modular:

Módulo	Función	Descripción
Spam module	Distribución	Convertía las máquinas infectadas en nodos de envío de spam, usando el servidor SMTP de la víctima
Email harvester	Recolección	Robaba contactos y contenido del buzón de Outlook para generar señuelos convincentes
Credential stealer	Robo	Extraía credenciales almacenadas en navegadores y clientes de email
Spreader module	Propagación	Se movía lateralmente en la red local usando credenciales robadas y brute force de SMB
Loader module	Distribución	Descargaba e instalaba malware de terceros (TrickBot, QakBot, IcedID)

La innovación técnica más importante de Emotet fue el secuestro de hilos de correo electrónico (email thread hijacking, mapeado a MITRE ATT&CK como T1566.001, Spearphishing Attachment). El proceso funcionaba así:

Emotet infectaba la máquina de la Víctima A
El módulo de email harvesting extraía el contenido completo del buzón de Outlook: contactos, asuntos, cuerpos de mensajes, adjuntos
Los operadores de Emotet procesaban esas conversaciones robadas
Generaban respuestas falsas a hilos reales, dirigidas a la Víctima B (un contacto real de A)
La respuesta falsa incluía un documento Word con macros maliciosas
La Víctima B recibía lo que parecía una respuesta legítima en una conversación que reconocía

Esta técnica era devastadora porque eliminaba las señales de alerta habituales del phishing. El remitente era conocido. El asunto tenía el formato "Re: [tema real]". El contexto del mensaje era coherente con la conversación previa. Las tasas de éxito de estos señuelos eran significativamente superiores al phishing genérico.

TrickBot: el sucesor del troyano bancario Dyre

Orígenes y evolución

TrickBot apareció en septiembre de 2016, identificado inicialmente como un troyano bancario sucesor de Dyre (también conocido como Dyreza), que había sido desmantelado tras una operación policial rusa en noviembre de 2015. Los investigadores de Fidelis Cybersecurity fueron los primeros en documentar las similitudes de código entre Dyre y TrickBot, lo que sugería que al menos parte del equipo de desarrollo de Dyre había migrado al nuevo proyecto.

El grupo operador de TrickBot fue bautizado como Wizard Spider por CrowdStrike. Con base en Rusia, Wizard Spider operaba TrickBot como la pieza central de un ecosistema criminal que incluiría también el ransomware Ryuk y posteriormente Conti.

Arquitectura modular

Lo que distinguía a TrickBot era su arquitectura de plugins extremadamente modular. El componente principal (el loader) era ligero: se instalaba, establecía persistencia y descargaba módulos adicionales según las instrucciones del servidor C2. Los módulos más relevantes eran:

Módulo	ID interno	Función
injectDll	dinj	Web injects para robo de credenciales bancarias en tiempo real
systeminfo	systeminfo	Recolección de información del sistema (OS, hardware, red, software instalado)
networkDll	networkDll	Mapeo de la red interna (subnets, shares, Active Directory)
wormDll	wormDll	Propagación lateral usando EternalBlue (MS17-010) y credenciales robadas
mimikatz	pwgrab	Extracción de credenciales de memoria con Mimikatz integrado
rdpScanDll	rdpScanDll	Escaneo de puertos RDP abiertos para movimiento lateral
shareDll	shareDll	Propagación por recursos compartidos SMB con credenciales robadas
mexec	mexec	Ejecución de payloads adicionales (Cobalt Strike, Ryuk, Conti)

La capacidad de añadir módulos dinámicamente significaba que TrickBot podía adaptarse a cada víctima. En una empresa grande con Active Directory, los operadores activaban wormDll para propagación masiva. En un objetivo de alto valor, usaban mimikatz y mexec para desplegar Cobalt Strike y operar manualmente.

El papel de Cobalt Strike

Cobalt Strike, una herramienta comercial de pentesting creada por Raphael Mudge, se convirtió en el framework de post-explotación preferido de los operadores de TrickBot (y de la mayoría de grupos de ransomware). Las copias pirateadas de Cobalt Strike permitían a los atacantes:

Establecer beacons persistentes con comunicación cifrada al C2
Ejecutar comandos remotos con control total del sistema
Pivotar entre máquinas de la red interna
Escalar privilegios hasta Domain Admin
Desplegar el payload final de ransomware en toda la red simultáneamente

El uso de Cobalt Strike representaba el punto donde la operación pasaba de automatizada (Emotet y TrickBot) a manual (operador humano controlando los beacons). Los operadores de Wizard Spider dedicaban días o semanas a reconocer la red antes de desplegar el ransomware, maximizando el impacto y el rescate.

La cadena completa: la triple amenaza

La cadena de infección Emotet, TrickBot, Ryuk (conocida informalmente como "la triple amenaza" o "the big game hunting chain") funcionaba como una operación coordinada en fases:

Fase 1: acceso inicial (Emotet)

Email con thread hijacking llega a la víctima (T1566.001)
Documento Word con macros VBA ejecuta PowerShell (T1059.005)
PowerShell descarga e instala Emotet
Emotet establece persistencia y contacta con su C2
El módulo de spam convierte la máquina en nodo de distribución
El email harvester roba el buzón para futuros señuelos

Fase 2: post-explotación (TrickBot)

Emotet descarga e instala TrickBot (loader module)
TrickBot recolecta información del sistema y la red
Módulo mimikatz extrae credenciales de memoria (T1055, Process Injection para inyectarse en LSASS)
wormDll se propaga lateralmente usando EternalBlue y credenciales robadas
Los operadores evalúan si la víctima es "de alto valor" (empresa grande, sector crítico)

Fase 3: ransomware (Ryuk/Conti)

TrickBot despliega Cobalt Strike beacons
Operador humano toma control manual
Reconocimiento de Active Directory, backups, sistemas críticos
Destrucción o cifrado de backups
Despliegue simultáneo de Ryuk/Conti en todos los endpoints (T1486, Data Encrypted for Impact)
Nota de rescate con demanda en Bitcoin (normalmente entre 200.000 y 5.000.000 de dólares)

Cronología de la cadena en una víctima típica

Día	Evento
Día 0	Email con thread hijacking, usuario habilita macros, Emotet se instala
Día 0-1	Emotet establece persistencia, contacta C2, roba buzón de email
Día 1-3	Emotet descarga TrickBot
Día 3-7	TrickBot mapea la red, roba credenciales, se propaga lateralmente
Día 7-14	TrickBot despliega Cobalt Strike, operador humano toma control
Día 14-30	Reconocimiento manual, identificación de backups, preparación del terreno
Día 30+	Despliegue de Ryuk/Conti, cifrado masivo, nota de rescate

El tiempo total entre el email inicial y el cifrado variaba enormemente: desde una semana en ataques oportunistas hasta varios meses en objetivos de alto valor donde los operadores maximizaban su posición antes de cifrar.

Los otros loaders: QakBot, IcedID y BazarLoader

Emotet no era el único loader en el ecosistema. Varios otros competían (y cooperaban) en el mercado de acceso inicial.

QakBot (QBot)

QakBot, activo desde 2008, seguía una trayectoria similar a Emotet: comenzó como troyano bancario y evolucionó hacia loader. A partir de 2019, QakBot se convirtió en uno de los principales distribuidores de ransomware, colaborando con grupos como Black Basta, Royal y Egregor. Su técnica de distribución también incluía thread hijacking y documentos con macros, lo que generaba confusión frecuente entre analistas sobre si un email malicioso provenía de Emotet o QakBot.

IcedID (BokBot)

IcedID apareció en 2017, documentado inicialmente por IBM X-Force como un troyano bancario que usaba web injects. Hacia 2019, IcedID añadió capacidades de loader y comenzó a distribuir Cobalt Strike y ransomware (Conti, REvil, Maze). Su principal diferencia con Emotet era su enfoque en objetivos empresariales desde el principio, con señuelos temáticos de facturas, documentos legales y notificaciones de envío.

BazarLoader y BazarBackdoor

BazarLoader (también conocido como BazarBackdoor en su variante de puerta trasera) fue desarrollado por el grupo Wizard Spider como alternativa más sigilosa a TrickBot. Detectado por primera vez en abril de 2020, BazarLoader usaba un enfoque diferente al de TrickBot: en lugar de cargar múltiples módulos, actuaba como una puerta trasera minimalista que establecía acceso y descargaba directamente Cobalt Strike.

BazarLoader se comunicaba con su C2 mediante el protocolo blockchain DNS de EmerDNS, lo que hacía que sus dominios de comando y control fueran extremadamente difíciles de derribar. También usaba firmado de código con certificados robados para evadir detección.

Loader	Activo desde	Operador	Ransomware asociado
Emotet	2014 (loader desde 2017)	Mealybug / TA542	Ryuk, Conti (vía TrickBot)
TrickBot	2016	Wizard Spider	Ryuk, Conti (directo)
QakBot	2008 (loader desde 2019)	Gold Lagoon	Black Basta, Royal, Egregor
IcedID	2017	Gold Cabin	Conti, REvil, Maze
BazarLoader	2020	Wizard Spider	Conti, Ryuk (vía Cobalt Strike)

Los intentos de desmantelamiento

Operación contra TrickBot (octubre 2020)

En octubre de 2020, Microsoft lideró una operación legal y técnica para desmantelar la infraestructura de TrickBot. Obtuvieron una orden judicial del Tribunal del Distrito Este de Virginia para tomar el control de los servidores C2 de TrickBot. Simultáneamente, el US Cyber Command (USCYBERCOM) ejecutó operaciones técnicas para interrumpir la botnet, enviando configuraciones falsas a los bots para desconectarlos de los servidores C2 reales.

La operación fue parcialmente exitosa. Se interrumpió temporalmente la actividad de TrickBot y se evitó que fuera utilizado para interferir en las elecciones presidenciales de noviembre de 2020 (la preocupación principal del Pentágono). Sin embargo, Wizard Spider reconstruyó la infraestructura en semanas.

Operation Ladybird: el desmantelamiento de Emotet (enero 2021)

El 27 de enero de 2021, Europol y Eurojust anunciaron la Operation Ladybird, una de las operaciones policiales más grandes contra el cibercrimen. Ocho países participaron de forma coordinada: Alemania (BKA), Países Bajos (Politie), Estados Unidos (FBI y DOJ), Reino Unido (NCA), Francia, Lituania, Canadá y Ucrania.

Las autoridades tomaron el control de cientos de servidores C2 de Emotet distribuidos en más de 90 países. El aspecto más innovador de la operación fue lo que hicieron después: en lugar de simplemente apagar los servidores, distribuyeron una actualización legítima a todos los bots activos de Emotet. Esta actualización contenía un temporizador que desinstalaba automáticamente Emotet de todas las máquinas infectadas el 25 de abril de 2021.

En Ucrania, la policía desmanteló físicamente la infraestructura y detuvo a dos individuos sospechosos de ser parte del equipo operativo.

Europol declaró que Emotet había infectado a más de 1,6 millones de víctimas en todo el mundo y había causado daños estimados en cientos de millones de euros.

El retorno de Emotet (noviembre 2021)

Diez meses después de la Operation Ladybird, en noviembre de 2021, investigadores de Cryptolaemus y AdvIntel detectaron que Emotet estaba siendo redistribuido a través de la infraestructura de TrickBot. La ironía era evidente: TrickBot, que durante años había sido distribuido por Emotet, ahora devolvía el favor reconstruyendo la botnet de su antiguo distribuidor.

El Emotet reconstruido incluía nuevas técnicas de evasión y cifraba sus comunicaciones C2 con HTTPS. Sin embargo, nunca recuperó la escala de su etapa anterior (2018-2020). La actividad fue intermitente durante 2022 y 2023, con campañas cada vez más espaciadas, hasta desaparecer prácticamente en 2024.

Mapa MITRE ATT&CK de la cadena completa

Táctica	Técnica	ID	Uso en la cadena
Initial Access	Spearphishing Attachment	T1566.001	Emotet: documentos Word con macros en hilos de email robados
Execution	Visual Basic (macros)	T1059.005	Macros VBA en documentos descargaban Emotet vía PowerShell
Persistence	Registry Run Keys	T1547.001	TrickBot y Emotet se registraban en claves Run del registro
Privilege Escalation	Process Injection	T1055	TrickBot inyectaba módulos en procesos legítimos (svchost, explorer)
Credential Access	OS Credential Dumping	T1003	Mimikatz integrado en TrickBot extraía hashes NTLM y tickets Kerberos
Lateral Movement	Exploitation of Remote Services	T1210	TrickBot usaba EternalBlue (MS17-010) para propagarse en la red
Command and Control	Application Layer Protocol	T1071	Emotet usaba HTTP/HTTPS, TrickBot HTTP/HTTPS, Cobalt Strike HTTPS/DNS
Impact	Data Encrypted for Impact	T1486	Ryuk/Conti cifraban todos los archivos accesibles con AES-256 + RSA-4096

El legado: el modelo de infección que sigue vigente en 2026

La cadena Emotet, TrickBot, Ryuk no fue solo un éxito criminal. Estableció el modelo operativo que domina el cibercrimen en 2026. Antes de esta cadena, el ransomware era mayoritariamente oportunista: cifrar lo que encontrara y pedir rescates pequeños (500 a 5.000 dólares). Después, el ransomware se convirtió en una operación de múltiples fases con rescates de millones.

Las lecciones que dejó esta cadena:

Separación de roles. El ecosistema se especializó. Los Initial Access Brokers (IABs) se encargan del acceso inicial (el rol de Emotet). Los operadores de post-explotación manejan el movimiento lateral (el rol de TrickBot). Los grupos de ransomware se centran en el cifrado y la extorsión (el rol de Ryuk/Conti). Cada actor se especializa en lo que hace mejor y vende sus servicios a los demás.

Email thread hijacking como estándar. La técnica que Emotet perfeccionó se convirtió en estándar para todos los loaders. QakBot, IcedID, Pikabot y DarkGate la adoptaron. En 2026, cualquier email de phishing sofisticado probablemente use contenido robado de buzones reales.

Modularidad como principio de diseño. La arquitectura de plugins de TrickBot demostró que el malware modular es superior al monolítico. Los loaders modernos (Pikabot, DarkGate, SystemBC) siguen el mismo patrón: un componente ligero que descarga módulos según la necesidad.

Big Game Hunting. La práctica de seleccionar víctimas de alto valor (hospitales, infraestructura crítica, grandes empresas) y dedicar semanas a maximizar el impacto antes de cifrar se originó con Wizard Spider y Ryuk. En 2026, todos los grupos de ransomware relevantes operan con este modelo.

La resiliencia del ecosistema. Emotet fue desmantelado y volvió. TrickBot fue atacado por Microsoft y el Pentágono, y sobrevivió. QakBot fue desmantelado en agosto de 2023 (Operation Duck Hunt) y resurgió meses después. El ecosistema de loaders y ransomware demostró una capacidad de regeneración que las operaciones policiales, por exitosas que sean, solo interrumpen temporalmente.

La cadena Emotet, TrickBot, Ryuk ya no existe como tal. Pero su modelo operativo (loader, post-explotación, ransomware) es el blueprint que siguen todas las operaciones de ransomware relevantes en 2026. La "cadena de infección moderna" nació entre 2018 y 2020, y sigue siendo el esquema dominante del cibercrimen organizado.

Técnicas MITRE ATT&CK referenciadas

T1566.001 T1059.005 T1055 T1486

Preguntas frecuentes

Libros recomendados

Sandworm: A New Era of Cyberwar and the Hunt for the Kremlin's Most Dangerous Hackers (Andy Greenberg)

Amazon (enlace afiliado)

The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers (Kevin Mitnick)