leyendo siempre lo mas sano es intentar cambiar los correos y pedir disculpas a quienes corresponda, entiendo que aveces hay servicios buenos que nos permiten usar alias, pero aveces faltan filtros , yo apostaría que tienen comprometido a la web o al correo mismo si fuera por la sesión, pero algo me hace ruido, quizas es poquito:
Yo comenzaría cambiando del equipo de celular , no de contraseña ni nada de ello, has evidenciado todo en el equipo y validacion con celular, pero no se lee que hubieras respaldado algo del celular y reiniciarlo de fábrica... el celular se puede infectar de diferentes formas y tambien evidenciar resultados como el que comentas, si pasas por twitter y youtube, puedes evidenciar que en android hay muchas formas de infectar nuestros teléfonos y tener acceso a ellos cuando se requieran.
yo aunque parezca menos experto de todos los anteriores , primero tomaria el .doc y lo analizaría, a través de algun analisis en virustotal o algo, para sacar alguna idea de lo que hace, casi siempre los análisis de documentos con malware deben hacerse en linux bajo plataformas con analisis de estilo forense, nunca en el host donde están afectado, casi siempre tienen macros con scripts hacia powershell y cosas raras. ejemplo https://app.any.run/
por otro lado :pensemos que tiene la cookie correcta de tu sesion, entonces pidio autorizacion para otro correo, o que importe imap por ti, ahi aun asi seria necesario no cambiar de contraseña sino de autorización, ejemplo usar pgp junto con el correo para validar la validación, o bien que alguien ha hackeado tu propio celular, entonces accede al celular y envia los mails de ahi sin drama..no me cabe duda que es una forma facil de no tener que estar cambiando de clave, tu ya tienes logueado el mail del celular.
por otro lado, nadie dice que el correo debe ser enviado de tu pc, fue enviado del mismo correo, pero puedes usar analisis de headers para verificar el origen de ello, hay herramientas publicas de apoyo
consejos de inexperto:
1) resetear de fábrica ese celular luego de respaldar los documentos importantes
2) Lograr que alguien de analisis de malware pueda verificar el .doc/zip del documento infectado ejemplo
https://app.any.run/
) lograr conversar con la plataforma o mail para cambiar de servicio (si, cambiar) hasta cuando se solucione
4) verificar que no tengas plugins adicionales al navegador que no has instalado (recuerda que podemos tener hasta sincronizado que bajen x plugins al navegador con x correo)
5) cuidar y velar el estado de seguridad de las tarjetas bancarias y transacciones.
6 )verificar tu router o donde te conectes a internet, hay muchas opciones aun
comenzar a usar firewall que te permitan ver conexiones entrantes y salientes,
verificar en el router si hay mas mac en las ip, etc
Saludos Cordiales
Apuromafo