Netcrook Logo
👤 CRYSTALPROXY
🗓️ 24 Mar 2026  

La fenice del phishing: come Tycoon2FA è risorto dopo il takedown globale

I criminali dietro il famigerato servizio di phishing Tycoon2FA sono tornati operativi nel giro di poche ore dopo un’importante operazione delle forze dell’ordine, mettendo in luce la tenace resilienza delle infrastrutture del cybercrimine.

A pochi giorni dall’annuncio, da parte di una coalizione internazionale, del takedown dell’infrastruttura di Tycoon2FA, le menti criminali dietro questa prolifica piattaforma di phishing-as-a-service (PhaaS) erano già di nuovo in attività - dimostrando che, quando si parla di cybercrimine, l’interruzione raramente è la fine della storia.

Ripresa rapida, minaccia persistente

Il 4 marzo 2026, Europol e le agenzie di law enforcement di sei Paesi, con il supporto dell’industria privata, hanno annunciato un’azione di alto profilo contro Tycoon2FA. L’operazione ha preso di mira 330 domini che alimentavano le pagine di phishing e i pannelli di controllo della piattaforma PhaaS, con l’obiettivo di spezzare la spina dorsale di un servizio responsabile di decine di milioni di email malevole al mese.

Ma i difensori informatici hanno avuto a malapena il tempo di festeggiare. I team di sicurezza di CrowdStrike hanno osservato un calo netto - ma fugace - dell’attività di Tycoon2FA. Nel giro di pochi giorni, i volumi di phishing sono tornati ai livelli precedenti al takedown. Le tattiche, tecniche e procedure (TTP) di Tycoon2FA sono cambiate a malapena: le email di phishing continuavano a convogliare le vittime verso siti-esca protetti da CAPTCHA, a sottrarre cookie di sessione e credenziali e a usare infrastrutture proxy per accedere ad account Microsoft 365 e Google.

In particolare, gli attaccanti hanno continuato a sfruttare un mix di domini registrati dagli attaccanti, siti web aziendali compromessi e servizi cloud abusati per ospitare e reindirizzare le vittime verso i loro kit di phishing. Domini come 811inboard[.]aeroprimelink[.]za[.]com e awssecrets[.]saidiosea[.]dev, così come siti legittimi dirottati, sono rimasti attivi - alcuni fin dal 2025, a indicare che parti dell’ecosistema Tycoon2FA sono sfuggite alla rete.

Gli investigatori hanno inoltre rilevato l’uso di pagine-esca generate con l’IA e tentativi di sfruttare piattaforme di hosting cloud come workers[.]dev di Cloudflare. Sebbene alcuni di questi sforzi siano stati bloccati da contromisure del settore, il messaggio complessivo era chiaro: gli operatori di Tycoon2FA sono agili, intraprendenti e non si lasciano scoraggiare dal solo sequestro dell’infrastruttura.

I limiti dei takedown

Perché Tycoon2FA è riuscito a riprendersi così rapidamente? La risposta sta nella natura dell’ecosistema PhaaS. Venduto in abbonamento, Tycoon2FA abbassa la soglia tecnica per i cybercriminali di tutto il mondo, che possono semplicemente attendere che gli operatori mettano in piedi una nuova infrastruttura in altre giurisdizioni. L’assenza di arresti o di sequestri di beni fisici significa che il nucleo del team criminale resta a piede libero, in grado di migrare e ricostruire con una velocità allarmante.

Per i difensori, la saga di Tycoon2FA è un campanello d’allarme. I takedown dell’infrastruttura, pur essendo dirompenti, non sono una panacea. Le organizzazioni devono mantenere un monitoraggio vigile su email, identità e ambienti cloud, pronte a rilevare e rispondere alla prossima ondata di takeover di account abilitati dal phishing e di compromissione delle email aziendali.

Guardando avanti

L’operazione del 4 marzo potrebbe aver inflitto un colpo reputazionale e imposto costi alla clientela criminale di Tycoon2FA, ma la rapida rinascita della piattaforma evidenzia la necessità di approcci globali, sostenuti e multifattoriali al cybercrimine. Finché le menti dietro l’operazione resteranno libere e il mercato resterà redditizio, la fenice del phishing risorgerà ancora.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli attaccanti inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Avversario: Un avversario è qualsiasi persona o gruppo che tenta di violare sistemi informatici o dati, spesso per scopi malevoli come furto o sabotaggio.
  • Cookie di sessione: Un cookie di sessione è un file temporaneo nel browser che ti mantiene connesso a un sito web; se rubato, può consentire ad altri di accedere al tuo account.
  • Compromissione delle email aziendali (BEC): La Business Email Compromise (BEC) è una truffa in cui i criminali violano o impersonano email aziendali per indurre le aziende a inviare denaro verso conti fraudolenti.
  • Geofencing: Il geofencing limita o abilita funzionalità software in base alla posizione fisica di un dispositivo, spesso usando dati GPS o l’indirizzo IP per definire confini.
Phishing Cybercrime Tycoon2FA
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news