Selon ANY.RUN Cybersecurity Blog, un hybride Salty2FA–Tycoon2FA est en train de toucher des boîtes mail à l’échelle mondiale ✉️.

Fusion inédite entre Salty2FA et Tycoon2FA : vers une nouvelle génération de kits de phishing 2FA

1. Effondrement soudain de Salty2FA

Fin octobre 2025, Salty2FA – traditionnellement très actif avec 250+ soumissions hebdomadaires sur ANY.RUN – s’effondre brutalement pour atteindre 51 soumissions au 11 novembre.

Les règles Suricata associées au kit (sid:85002719) cessent soudainement de se déclencher, tandis que nombre d’échantillons deviennent :

  • non fonctionnels
  • ou totalement incohérents avec les schémas habituels de Salty2FA.

Première hypothèse : mise à jour du kit.
Révélation : non – une partie critique de l’infrastructure Salty est en panne, provoquant des échecs DNS récurrents (SERVFAIL).

2. Apparition d’un chevauchement inédit : Salty2FA + Tycoon2FA dans les mêmes campagnes

En parallèle à la chute de Salty, ANY.RUN observe :

  • des sessions indiquant à la fois Salty2FA et Tycoon2FA,
  • des déclenchements de règles d’attribution Tycoon,
  • des infrastructures Tycoon au sein de flux initialement Salty.

Il ne s’agit pas de faux positifs mais d’indicateurs techniques fiables :

  • détection de DGA Tycoon,
  • fast-flux Tycoon,
  • patterns réseau caractéristiques.

➡️ Le même échantillon présente désormais les deux frameworks.

3. Analyse code : un « kit hybride » réel et confirmé

En examinant les scripts client-side, ANY.RUN met en évidence :

Traces Salty2FA :

  • « motivational quotes » dans le HTML
  • naming conventions caractéristiques
  • trampoline code pour charger les payloads
  • infrastructure Salty (omvexe[.]shop), mais défaillante

Bascule automatique vers Tycoon2FA :

Lorsque les domaines Salty échouent, un fallback hardcodé redirige vers :

  • un domaine Cloudflare Workers typique Tycoon
  • puis charge une chaîne d’exécution identique à Tycoon2FA :
    • variables prédéfinies
    • chiffrement des données (IV/key codées en dur)
    • encodage en octets
    • DGA Tycoon
    • POST final vers serveur Tycoon

Même le style, l’ordre des fonctions et les contrôles anti-debug concordent parfaitement.

➡️ Il s’agit d’un kit 2FA hybride, Salty en front / Tycoon en backend.

4. Causes probables et implications

ANY.RUN évoque plusieurs possibilités :

Hypothèse 1 : Infrastructure Salty hors service → bascule vers Tycoon

La défaillance des domaines Salty entraîne l’usage d’un fallback Tycoon intégré dans les échantillons.

Hypothèse 2 : Un seul opérateur derrière les deux frameworks

Storm-1747 (opérateur connu de Tycoon2FA) est suspecté d’être aussi derrière Salty2FA.

Hypothèse 3 : Consolidation des PhaaS

Les opérateurs pourraient rationaliser leurs infrastructures pour réduire les coûts et accélérer les campagnes.

Quoi qu’il arrive : ➡️ L’attribution devient plus complexe, les règles de détection doivent être repensées, et les SOC doivent traiter Salty/Tycoon comme un cluster de menaces interconnecté.

🎯 Recommandations pour les SOC

1. Regrouper Salty2FA et Tycoon2FA dans un même cluster d’analyse

Co-présence d’IoCs, infrastructures, TTPs → corrélation obligatoire.

2. Détecter les fallback payloads

Les campagnes peuvent commencer en « Salty » puis basculer vers « Tycoon » sans rupture visible.

3. Prioriser les comportements sur les IoCs statiques

Les kits hybrides cassent automatiquement les règles IOC-only.

Indicateurs comportementaux à surveiller :

  • DOM rewriting Microsoft 365
  • blocage DevTools / anti-debug
  • trampoline patterns
  • DGA Tycoon
  • fast-flux / Workers.dev abuse

4. Mettre à jour les playbooks IR

Prévoir des cas d’incidents multi-frameworks dans une seule chaîne.

5. Anticiper une propagation rapide des TTPs

Si Storm-1747 est derrière les deux kits, toute nouveauté Tycoon arrivera dans Salty (ou inversement).

🧠 TTPs et IOCs détectés

🧨 TTPs observées (MITRE ATT&CK — interprétation)

  • T1566.002 — Phishing par site Web
  • T1059 — Execution: JavaScript eval() / obfuscation base64/xor
  • T1027 — Obfuscation du code
  • T1204 — User Execution (2FA phishing pages)
  • T1592 — Personal info collection
  • T1132 — Encodage exfiltration (octets, base64)
  • T1071.001 — C2 via protocoles web (HTTPS POST)
  • T1090 — Fast-flux / Workers.dev
  • T1568 — DGA domains (Tycoon)
  • T1498 — Infrastructure fallback

🧾 IoCs fournis

Domaines & infrastructures

  • 1otyu7944x8[.]workers[.]dev
  • xm65lwf0pr2e[.]workers[.]dev
  • diogeneqc[.]pages[.]dev
  • stoozucha[.]sa[.]com
  • omvexe[.]shop (Salty – en panne, SERVFAIL)
  • lapointelegal-portail[.]pages[.]dev
  • lathetai[.]sa[.]com

Patterns techniques

  • JavaScript trampoline code (Salty)
  • Base64 + XOR obfuscation
  • fallback vers Workers.dev (Tycoon)
  • DGA Tycoon
  • DOM injection Microsoft 365

📌 Conclusion

ANY.RUN révèle un tournant majeur dans les kits de phishing 2FA :
Salty2FA et Tycoon2FA ne sont plus distincts — ils coexistent dans les mêmes campagnes, parfois même dans un seul échantillon.

Type d’article: analyse de menace visant à informer sur la formation du kit hybride, les enjeux d’attribution et les mises à jour à considérer pour la défense. Analyse technique spécialisée (ANY.RUN) portant sur l’évolution des kits de phishing 2FA, en particulier l’apparition d’un hybride entre Salty2FA et Tycoon2FA, révélateur d’un changement majeur dans l’écosystème PhaaS.

🔗 Source originale : https://any.run/cybersecurity-blog/salty2fa-tycoon2fa-hybrid-phishing-2025/

🖴 Archive : https://web.archive.org/web/20251202113210/https://any.run/cybersecurity-blog/salty2fa-tycoon2fa-hybrid-phishing-2025/