Netcrook Logo
👤 LOGICFALCON
🗓️ 23 Mar 2026  

Phishing Hydra: Tycoon 2FA torna in auge dopo la stretta globale della polizia

Nonostante un’operazione internazionale e il sequestro di domini, il servizio di phishing Tycoon 2FA è tornato rapidamente a pieno regime, alimentando una nuova ondata di attacchi informatici.

In una fredda mattina di marzo, le forze dell’ordine di sei Paesi hanno unito le forze con colossi tecnologici e aziende di cybersecurity per smantellare Tycoon 2FA - una famigerata piattaforma di phishing-as-a-service (PhaaS) ritenuta responsabile di decine di migliaia di violazioni di account ogni mese. I titoli dei giornali hanno celebrato l’interruzione e, per un breve momento, i difensori nelle trincee digitali hanno tirato un sospiro di sollievo. Ma il mondo criminale, se non altro, è resiliente, e Tycoon 2FA non solo ha resistito al colpo - sta prosperando di nuovo.

Tycoon 2FA, attivo dal 2023, offre ai cybercriminali un servizio in abbonamento per lanciare campagne di phishing sofisticate. Il suo famigerato punto di forza? Aggirare l’autenticazione a più fattori (MFA) e infiltrarsi negli account cloud senza far scattare gli allarmi di sicurezza. Il manuale tecnico del servizio - email di phishing che conducono a pagine CAPTCHA convincenti, furto di cookie di sessione e raccolta di credenziali tramite JavaScript malevolo - si è dimostrato straordinariamente efficace, prendendo di mira mezzo milione di organizzazioni e lasciando una scia di account compromessi in tutto il mondo.

Quando Europol, Microsoft e una dozzina di partner privati hanno annunciato il sequestro coordinato di centinaia di domini Tycoon 2FA e l’arresto di diversi sospetti, molti hanno sperato che l’operazione avrebbe paralizzato il gigante del PhaaS. Per circa 48 ore, è sembrato funzionare: CrowdStrike ha osservato l’attività di Tycoon 2FA crollare a un quarto del volume normale. Ma le infrastrutture dei cybercriminali sono notoriamente agili. Entro la fine della settimana, Tycoon 2FA aveva acquisito nuovi indirizzi IP, messo in piedi nuovi domini di phishing ed era tornato alla normalità - con livelli di attacco giornalieri in linea con quelli precedenti al takedown.

Le tattiche, tecniche e procedure (TTP) utilizzate da Tycoon 2FA sono rimaste invariate. La piattaforma ha continuato a facilitare il business email compromise (BEC), dirottare thread di email, distribuire URL di phishing tramite piattaforme cloud come SharePoint ed eseguire takeover di account cloud. Mentre alcuni kit di phishing correlati, in particolare Salty 2FA, hanno subito un’interruzione più duratura, la resilienza di Tycoon 2FA è un monito sobrio sull’adattabilità dei servizi di cybercrime.

Gli esperti suggeriscono che l’azione delle forze dell’ordine, pur non essendo un colpo da KO, conta comunque. L’interruzione probabilmente ha rallentato i clienti di Tycoon 2FA, danneggiato la reputazione della piattaforma tra i cybercriminali e costretto gli operatori a bruciare risorse per ricostruire. Eppure, come mostra questo episodio, la battaglia tra difensori e attori della minaccia è una maratona, non uno sprint.

Ora che l’ombra di Tycoon 2FA si allunga di nuovo sul panorama digitale, una cosa è chiara: la lotta contro il phishing-as-a-service è tutt’altro che finita. Ogni takedown, anche se temporaneo, erode l’ecosistema criminale - ma l’idra fa crescere nuove teste. Per i difensori, vigilanza e innovazione restano le armi migliori in una guerra in continua evoluzione.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Multi: Multi si riferisce all’uso di una combinazione di tecnologie o sistemi diversi - come satelliti LEO e GEO - per migliorare affidabilità, copertura e sicurezza.
  • Furto di cookie di sessione: Il furto di cookie di sessione avviene quando gli aggressori sottraggono i cookie dai browser per dirottare le sessioni utente e ottenere accesso non autorizzato senza bisogno di password.
  • Business Email Compromise (BEC): Il Business Email Compromise (BEC) è una truffa in cui i criminali violano o impersonano email aziendali per indurre le aziende a inviare denaro a conti fraudolenti.
  • Proxying delle credenziali: Il proxying delle credenziali avviene quando gli aggressori inoltrano i dettagli di accesso tramite strumenti malevoli per intercettare e utilizzare le credenziali dell’account in tempo reale.
Phishing Cybercrime Tycoon 2FA
LOGICFALCON LOGICFALCON
Log Intelligence Investigator
← Back to news