Selon un communiqué de presse d’Europol (4 mars 2026), une opération internationale coordonnée par l’EC3 a démantelé « Tycoon 2FA », une plateforme de phishing-as-a-service utilisée pour contourner l’authentification multifacteur (MFA) et compromettre des comptes à grande échelle.

• Ce service par abonnement fournissait un outillage conçu pour intercepter des sessions d’authentification en direct et obtenir un accès non autorisé à des comptes en ligne, y compris ceux protégés par des couches de sécurité additionnelles. Actif depuis au moins août 2023, il a permis à des milliers de cybercriminels de viser des comptes email et services cloud, touchant près de 100 000 organisations (dont des écoles, hôpitaux et institutions publiques). ✉️🔓

• L’infrastructure criminelle centrale a été perturbée avec la mise hors ligne de 330 domaines (pages de phishing et panneaux de contrôle). La perturbation technique a été menée par Microsoft avec le soutien d’une coalition de partenaires privés, tandis que des saisies d’infrastructure et autres mesures opérationnelles ont été réalisées en Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume‑Uni, sous coordination d’Europol. 🚔

• L’opération s’appuie sur un partenariat public-privé: l’enquête a débuté grâce à des renseignements partagés par Trend Micro, puis diffusés par Europol via ses groupes consultatifs et réseaux opérationnels. Dans le cadre du Cyber Intelligence Extension Programme (CIEP), Microsoft et Trend Micro ont apporté expertise technique et analyses d’infrastructure. Parmi les partenaires privés engagés via Europol figurent: Cloudflare, Coinbase, Intel471, Microsoft, Proofpoint, Shadowserver Foundation, SpyCloud, Trend Micro.

• Impact chiffré: à la mi‑2025, Tycoon 2FA représentait environ 62% des tentatives de phishing bloquées par Microsoft et générait des dizaines de millions d’emails de phishing par mois.

IOCs

  • Aucun indicateur technique (IP, domaines, hachages) n’est listé dans le texte.

TTPs

  • Phishing-as-a-service (PhaaS) à grande échelle
  • Interception de sessions d’authentification en temps réel pour contourner la MFA
  • Envoi massif de courriels de phishing
  • Contrôle via panneaux d’administration liés aux domaines de phishing

Type d’article: communiqué de presse; objectif principal: annoncer une opération de démantèlement coordonnée et mettre en avant la coopération public-privé au sein de l’UE.

🔗 Source originale : https://www.europol.europa.eu/media-press/newsroom/news/global-phishing-service-platform-taken-down-in-coordinated-public-private-action