Instanties verstoren populair phishingplatform

Tycoon 2FA werkt als een adversary-in-the-middle (AiTM) phishing kit. Het voornaamste doel is het verzamelen van gebruikersnamen, wachtwoorden en sessiecookies van Microsoft 365 en Gmail. Aanvallers gebruiken deze cookies om de toegangscontroles van multifactorauthenticatie (MFA) tijdens latere authenticatie te omzeilen. Hierdoor realiseren ze volledige accountovernames en krijgen ze ongeoorloofde toegang tot de accounts, systemen en clouddiensten van een gebruiker, ook wanneer deze MFA als extra securitymaatregel hebben.

De infrastructuur van Tycoon 2FA, inclusief domeinen en servers, werd verstoord in samenwerking met particuliere en publieke partners, waaronder Proofpoint, Microsoft, Europol, Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel 471, Resecurity, The Shadowserver Foundation, SpyCloud en TrendAI. In samenwerking met Europol en verschillende wetshandhavingsinstanties werd de infrastructuur in beslag genomen waarbij andere operationele maatregelen werden doorgevoerd. Microsoft en mede-eiser Health-ISAC hebben daarnaast een rechtszaak aangespannen tegen de vermeende maker van Tycoon 2FA, Saad Fridi, en andere niet bij naam genoemde medewerkers. De verstoring, en de daarmee samenhangende civiele procedure in het zuidelijke district van New York in de Verenigde Staten, zullen een aanzienlijke impact hebben op de activiteiten van Tycoon 2FA en de algehele dreigingsactiviteit.

“De actie van vandaag richt zich op een belangrijke cybercrimineel, Tycoon 2FA. Deze is verantwoordelijk voor het grootste aantal AiTM-phishingcampagnes in de gegevens van Proofpoint”, zegt Selena Larson, Staff Threat Researcher bij Proofpoint. “Aanvallen van Tycoon 2FA hebben geleid tot tienduizenden gecompromitteerde accounts. Proofpoint heeft dergelijke aanvallen waargenomen die gericht waren op kritieke sectoren, waaronder de gezondheidszorg, het onderwijs, de overheid en defensie. Volgens de dreigingsgegevens van Proofpoint heeft 99% van de organisaties in 2025 te maken gehad met pogingen tot accountovernames en is dit bij 67% gelukt. Van de overgenomen accounts had 59% MFA ingeschakeld. Hoewel niet al deze aanvallen verband hielden met Tycoon 2FA, toont dit wel de impact van AiTM-phishing op ondernemingen aan.”

Proofpoint ondersteunde de actie van Microsoft met dreigingsgegevens uit eigen observaties, waaronder kwaadaardige domeinen en informatie met betrekking tot Tycoon 2FA-campagnes. Ook leverde het bedrijf een verklaring voor de rechtszaak.

Verstoring

Op 4 maart 2026 kondigde Microsoft een rechtszaak en verstorende maatregelen aan tegen de maker van Tycoon 2FA en meerdere niet bij naam genoemde medewerkers. Proofpoint ondersteunde de civiele procedure door een verklaring af te geven over de activiteiten van Tycoon 2FA, inclusief details over de infrastructuur en campagnes. Microsoft nam 330 controlepaneeldomeinen in beslag die verband hielden met Tycoon 2FA. Deze actie zal een aanzienlijke impact hebben op de werkzaamheden en de lopende criminele activiteiten verstoren.

Selena Larson vervolgt: “Deze cyberaanvallen, die volledige accountovernames mogelijk maken, kunnen rampzalige gevolgen hebben. Denk hierbij aan ransomware of het verlies van gevoelige gegevens. Doordat cybercriminelen identiteitsdiefstal nog steeds hoog op hun agenda hebben staan, is het verkrijgen van toegang tot e-mailaccounts van bedrijven vaak de eerste stap in een reeks aanvallen die destructieve gevolgen kan hebben. Proofpoint is er trots op deze actie en de bijbehorende rechtszaak te ondersteunen samen met onze partners in de particuliere en publieke sector. De infrastructuur van Tycoon 2FA uitschakelen en de verantwoordelijke persoon voor het creëren van deze productieve hacktool identificeren, zal een aanzienlijke impact hebben op phishing met MFA-inloggegevens in het algemeen. Hopelijk brengt het een klap toe aan ’s werelds meest productieve AiTM phishing-as-a-service.”

Lees het volledige Engelstalige bericht hier.