Tycoon 2FA, un dels destacats Kits d’eines de pesca com a servei (PhaaS), que permetia que els ciberdelinqüents organitzessin atacs de recol·lecció de credencials d’adversari al mig (AitM) a gran escala, va ser desmantellat per una coalició d’agències i empreses de seguretat.

El kit de pesca basat en subscripcions, que va aparèixer per primera vegada l’agost de 2023, va ser descrit per l’Europol com una de les operacions de pesca més grans del món. El kit es va vendre a través de Telegram i Signal per un preu inicial de 120 dòlars durant 10 dies o 350 dòlars per accedir a un panell d’administració basat en web durant un mes. Es creu que el desenvolupador principal de Tycoon 2FA és Saad Freddy, que es diu que té la seu al Pakistan.

El panell serveix com a centre per configurar, fer un seguiment i refinar les campanyes. Inclou plantilles predefinides, fitxers adjunts per a formats d’esquer comuns, configuració de domini i allotjament, lògica de redirecció i seguiment de víctimes. Els operadors també poden configurar com es lliura el contingut maliciós a través dels fitxers adjunts, i també fer un seguiment dels intents d’inici de sessió vàlids i no vàlids.

La informació capturada, com ara credencials, codis d’autenticació multifactor (MFA) i galetes de sessió, es pot descarregar directament des del panell o reenviar a Telegram per a una supervisió gairebé en temps real.

Europol va informar que «Va permetre que milers de ciberdelinqüents accedeixin de manera encoberta a comptes de correu electrònic i serveis basats en el núvol. A gran escala, la plataforma generava desenes de milions de correus electrònics de pesca de credencials cada mes i facilitava l’accés no autoritzat a gairebé 100.000 organitzacions a tot el món, incloses escoles, hospitals i institucions públiques.»

Com a part de l’esforç coordinat, s’han eliminat 330 dominis que formaven l’eix vertebrador del servei criminal, incloses pàgines de pesca i panells de control.

En determinar que Tycoon 2FA era «perillós», Intel 471 va afirmar que el kit estava relacionat amb més de 64.000 incidents de pesca i desenes de milers de dominis, que generaven desenes de milions de correus electrònics de pesca cada mes. Segons Microsoft, que està rastrejant els operadors del servei sota el nom Storm-1747, Tycoon 2FA es va convertir en la plataforma més prolífica observada per l’empresa el 2025, cosa que la va portar a bloquejar més de 13 milions de correus electrònics maliciosos vinculats al servei de programari criminal l’octubre de 2025.

El gegant tecnològic també va dir que en total, Tycoon 2FA va representar aproximadament el 62 % de tots els intents de pesca bloquejats per Microsoft a mitjans del 2025, inclosos més de 30 milions de correus electrònics en un sol mes. El servei s’ha vinculat a unes 96.000 víctimes diferents de pesca arreu del món des del 2023, inclosos més de 55.000 clients de Microsoft.

L’anàlisi geogràfica de les dades del registre de víctimes per part de SpyCloud indica que els EUA van tenir la concentració més gran de víctimes identificades (179.264), seguits del Regne Unit (16.901), Canadà (15.272), l‘Índia (7.832) i França (6.823).

L’empresa de ciberseguretat va informar que «La gran majoria dels comptes objectiu eren gestionats per empreses o associats a dominis de pagament, cosa que reforça la conclusió que Tycoon 2FA s’adreça principalment a entorns empresarials en lloc de comptes de consumidors individuals.»

Les dades de Proofpoint mostren que Tycoon 2FA representava el volum més alt d’amenaces de pesca d’AiTM. L’empresa de seguretat del correu electrònic va dir que va observar més de tres milions de missatges associats amb el kit de pesca només el febrer del 2026. Trend Micro, que va ser un dels socis del sector privat en l’operació, va assenyalar que la plataforma PhaaS tenia aproximadament 2.000 usuaris.

Les campanyes que aprofiten Tycoon 2FA s’han adreçat indiscriminadament a gairebé tots els sectors, inclosos els de l’educació, la salut, les finances, les organitzacions sense ànim de lucre i el govern. Els correus electrònics de pesca enviats des del kit van arribar a més de 500.000 organitzacions cada mes a tot el món.

Microsoft també va informar que «La plataforma de Tycoon 2FA va permetre que els actors d’amenaces suplantessin marques de confiança imitant pàgines d’inici de sessió per a serveis com Microsoft 365, OneDrive, Outlook, SharePoint i Gmail.»

«També permetia que els actors d’amenaces que feien servir el seu servei establissin persistència i accedissin a informació delicada, fins i tot després de restablir les contrasenyes, tret que les sessions i els tokens actius fossin revocats explícitament. Això funcionava interceptant les galetes de sessió generades durant el procés d’autenticació, i capturant simultàniament les credencials de l’usuari. Els codis MFA es transmetien posteriorment a través dels servidors proxy de Tycoon 2FA al servei d’autenticació.”»

El kit també emprava tècniques com el monitoratge de pulsacions de tecles, la detecció antibots, l’empremta digital del navegador, l’ofuscació de codi pesada, els CAPTCHA autoallotjats, el JavaScript personalitzat i les pàgines esquer dinàmiques per eludir els esforços de detecció. Un altre aspecte clau és l’ús d’una combinació més àmplia de dominis de primer nivell (TLD) i noms de domini completament qualificats (FQDN) de curta durada per allotjar la infraestructura de pesca a Cloudflare.

Els FQDN sovint només duren de 24 a 72 hores, i la ràpida rotació és un esforç deliberat per complicar la detecció i evitar la creació de llistes de bloqueig fiables. Microsoft també va atribuir l’èxit de Tycoon 2FA a imitar de prop els processos d’autenticació legítims per interceptar furtivament les credencials dels usuaris i els tokens de sessió.

Per empitjorar les coses, els clients de Tycoon 2FA van aprofitar una tècnica anomenada ATO Jumping, mitjançant la qual es fa servir un compte de correu electrònic compromès per distribuir URL de Tycoon 2FA i intentar més activitats d’ocupació del compte. Proofpoint va assenyalar  que «L’ús d’aquesta tècnica permet que els correus electrònics sembli que provenen autènticament del contacte de confiança d’una víctima, i augmenten la probabilitat d’un compromís reeixit.»

Kits de suplantació d’identitat (pesca) com ara Tycoon estan dissenyats per ser flexibles, de manera que siguin accessibles a actors menys tècnics, i alhora ofereixen capacitats avançades per a operadors més experimentats.

«El 2025, el 99 % de les organitzacions van experimentar intents d’assumpció de comptes, i el 67 % van experimentar una supressió de comptes amb èxit», va dir Selena Larson, investigadora d’amenaces de Proofpoint, en un comunicat compartit amb The Hacker News. «D’aquests, el 59 % dels comptes sobrants tenien l’MFA habilitat. Tot i que no tots aquests atacs estaven relacionats amb l’MFA de Tycoon, això demostra l’impacte de la pesca d’AiTM a les empreses.»

«Aquests ciberatacs que permeten la presa de control total de comptes poden tenir impactes desastrosos, com ara programari de segrest o la pèrdua de dades delicades. A mesura que els actors d’amenaces continuen prioritzant la identitat, obtenir accés als comptes de correu electrònic de l’empresa sovint és el primer pas d’una cadena d’atac que pot tenir conseqüències destructives.»