Οι εγκληματίες του κυβερνοχώρου πίσω από το Tycoon2FA, μια πλατφόρμα phishing-as-a-service (PhaaS), έχουν ξαναρχίσει τη στόχευση λογαριασμών cloud με σχεδόν πλήρη ισχύ παρά τη συντονισμένη κατάργηση από τις αρχές επιβολής του νόμου στις 4 Μαρτίου 2026.
Η Europol, συνεργαζόμενη με αρχές από έξι χώρες, κατέσχεσε 330 τομείς που αποτελούσαν τη ραχοκοκαλιά της υποδομής της πλατφόρμας, σε μια από τις πιο εμφανείς προσπάθειες διακοπής μιας υπηρεσίας εγκληματικού λογισμικού που βασίζεται σε συνδρομές.
Ωστόσο, εντός της ίδιας ημέρας εκείνης της ανακοίνωσης, οι φορείς εκμετάλλευσης είχαν ήδη αρχίσει να ανοικοδομούν τις δραστηριότητές τους, αποκαλύπτοντας πόσο ανθεκτική έχει γίνει αυτή η απειλή.
Το Tycoon2FA εμφανίστηκε για πρώτη φορά το 2023 ως μια εργαλειοθήκη βασισμένη σε συνδρομές που έχει σχεδιαστεί για να βοηθά τους εγκληματίες του κυβερνοχώρου να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Η πλατφόρμα λειτουργεί με τη χρήση τεχνικών adversary-in-the-middle (AITM) — κάθεται ανάμεσα σε ένα θύμα και μια νόμιμη σελίδα σύνδεσης για να παρακολουθεί ζωντανές περιόδους ελέγχου ταυτότητας σε πραγματικό χρόνο.
Μέχρι τα μέσα του 2025, η πλατφόρμα είχε εξελιχθεί σε κυρίαρχη δύναμη στο τοπίο του phishing, αντιπροσωπεύοντας το 62% όλων των προσπαθειών phishing που μπλοκάρει η Microsoft και φέρεται να έστειλε περισσότερα από 30 εκατομμύρια κακόβουλα email σε έναν μόνο μήνα.
Οι αναλυτές του CrowdStrike εντόπισαν μια σύντομη αλλά απότομη πτώση στην καμπάνια Tycoon2FA δραστηριότητα αμέσως μετά την κατάργηση της 4ης Μαρτίου, με τους ημερήσιους όγκους να πέφτουν μόλις στο 25% των επιπέδων πριν από τη διακοπή στις 4 Μαρτίου και στις 5 Μαρτίου 2026.
Ωστόσο, αυτή η προσωρινή πτώση δεν κράτησε. Μέσα σε λίγες μέρες, η δραστηριότητα επέστρεψε στα ίδια επίπεδα που παρατηρήθηκαν στις αρχές του 2026 και οι παραβιάσεις των λογαριασμών cloud ξεκίνησαν ξανά με πλήρη ταχύτητα.
Ουσιαστικά, οι τακτικές, οι τεχνικές και οι διαδικασίες (TTP) της πλατφόρμας δεν παρουσίασαν σημαντικές αλλαγές μετά τη διακοπή, γεγονός που υποδηλώνει ότι η βασική υπηρεσία δεν ήταν ποτέ πλήρως εκτός σύνδεσης.
Η επιχείρηση της 4ης Μαρτίου διεξήχθη από το Ευρωπαϊκό Κέντρο για το Έγκλημα στον κυβερνοχώρο (EC3) της Europol επιβολής του νόμου από τη Λετονία, τη Λιθουανία, την Πορτογαλία, την Πολωνία, την Ισπανία και το Ηνωμένο Βασίλειο.
Η ενέργεια ήρθε αρκετούς μήνες μετά τη στόχευση από τις αρχές επιβολής του νόμου τον Σεπτέμβριο του 2025 στο RaccoonO365, το οποίο είχε χρησιμεύσει ως ο κύριος ανταγωνιστής του Tycoon2FA.
Δεν έχουν αναφερθεί συλλήψεις ή κατασχέσεις φυσικών περιουσιακών στοιχείων που συνδέονται με το Tycoon2FA μέχρι τη στιγμή που γράφεται αυτό το κείμενο, ένα κενό που οι αναλυτές πιστεύουν ότι έχει περιορίσει σημαντικά τον μακροπρόθεσμο αντίκτυπο της διακοπής.
Η ταχύτητα της ανάκαμψης του Tycoon2FA υποδηλώνει ένα ευρύτερο πρόβλημα με καταργήσεις μόνο για υποδομές.
Όταν δεν υπάρχουν συλλήψεις μετά από κατάσχεση τομέα, οι χειριστές μπορούν γρήγορα να ανακατασκευάσουν χρησιμοποιώντας νέα φιλοξενία, νέους τομείς και ενημερωμένη υποδομή IP — όλα αυτά χωρίς να χάσουν πολλά πράγματα.
Για οργανισμούς που χρησιμοποιούν Microsoft 365 ή υπηρεσίες cloud της Google, αυτό σημαίνει ότι η απειλή δεν έχει μειωθεί σημαντικά.
Τακτικές phishing μετά τη διακοπή
Από τις 4 Μαρτίου έως τις 6 Μαρτίου 2026, η ομάδα Falcon Complete του CrowdStrike απάντησε σε τουλάχιστον 30 ύποπτα περιστατικά phishing με δυνατότητα Tycoon2FA, τα οποία αφορούσαν τουλάχιστον 12 σελίδες με δόλωμα και καταγραφή διαπιστευτηρίων.
Η αλυσίδα επιθέσεων ακολούθησε το καθιερωμένο μοτίβο της: τα μηνύματα ηλεκτρονικού ψαρέματος κατευθύνουν τα θύματα σε ψεύτικες σελίδες CAPTCHA, τα cookie περιόδου λειτουργίας κλάπηκαν κατά την επικύρωση CAPTCHA και Το ασαφές αρχείο JavaScript χρησιμοποιήθηκε για τη διαμεσολάβηση των διαπιστευτηρίων του θύματος σε μια νόμιμη σύνδεση του Microsoft 365.
Μόλις καταγραφούν τα διαπιστευτήρια και τα διακριτικά MFA, η πλατφόρμα Tycoon2FA συνδέθηκε αυτόματα στον λογαριασμό Microsoft EntraID του θύματος. Αυτές οι αυτοματοποιημένες συνδέσεις χρησιμοποιούσαν συνήθως διευθύνσεις IPv6 που συνδέονται με τον πάροχο διαδικτύου M247 Europe SRL με έδρα τη Ρουμανία.
.webp.jpeg)
Οι χειριστές χρησιμοποίησαν γενετική τεχνητή νοημοσύνη για να δημιουργήσουν πειστικούς ψεύτικους ιστότοπους που εξυπηρετούνται σε χρήστες που αποτυγχάνουν στους ελέγχους γεωγραφικής περίφραξης της πλατφόρμας, ένα βήμα που έχει σχεδιαστεί για να φιλτράρει τους ερευνητές ασφαλείας.
Οι καμπάνιες μετά τη διακοπή χρησιμοποίησαν επίσης υπηρεσίες συντόμευσης διευθύνσεων URL, συνδέσμους μέσα σε νόμιμες πλατφόρμες παρουσίασης και παραβίασαν περιβάλλοντα του SharePoint από αξιόπιστες επαφές για να ανακατευθύνουν στόχους προς την υποδομή Tycoon2FA.
Οκτώ από τις 11 διευθύνσεις IPv6 που παρατηρήθηκαν τον Μάρτιο του 2026 εμφανίστηκαν για πρώτη φορά την ή μετά την 1η Μαρτίου, υποδεικνύοντας ότι οι φορείς απειλών απέκτησαν γρήγορα νέα υποδομή μετά την κατάργηση.
Οι οργανισμοί δεν πρέπει να αντιμετωπίζουν το MFA ως την τελική γραμμή άμυνας. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν ενεργά για ύποπτη δημιουργία κανόνων εισερχομένων και δραστηριότητα κρυφού φακέλου στο Microsoft Exchange, τα οποία είναι κοινά πρώιμα σημάδια Συμβιβασμός επιχειρηματικού email (BEC).
Οι εργαζόμενοι χρειάζονται συνεχή εκπαίδευση για να εντοπίζουν μηνύματα ηλεκτρονικού ψαρέματος που δρομολογούνται μέσω αξιόπιστων πλατφορμών ή συντομεύσεων URL. Οι επιχειρήσεις θα πρέπει να επιβάλλουν πολιτικές πρόσβασης υπό όρους που επισημαίνουν τις συνδέσεις από ασυνήθιστες περιοχές IPv6 ή απροσδόκητες γεωγραφικές τοποθεσίες.
Η συνεχής παρακολούθηση της δραστηριότητας ανάλυσης DNS και των αρχείων καταγραφής ελέγχου ταυτότητας στο cloud παραμένει κρίσιμη για τον έγκαιρο εντοπισμό εισβολών που σχετίζονται με το Tycoon2FA.
