Source et contexte: Microsoft Threat Intelligence (microsoft.com) publie une analyse technique approfondie de Tycoon2FA, un kit de phishing‑as‑a‑service (PhaaS) opéré par l’acteur Storm‑1747, apparu en août 2023 et utilisé dans des campagnes diffusant des dizaines de millions de messages chaque mois vers plus de 500 000 organisations.
• Portée et capacités: Tycoon2FA fournit des fonctions Adversary‑in‑the‑Middle (AiTM) permettant de bypasser la MFA en interceptant les identifiants et cookies de session lors de l’authentification, puis en relayant les codes MFA via des proxys. Il mime des pages de connexion de Microsoft 365, Outlook, OneDrive, SharePoint, Gmail, etc., et peut maintenir l’accès même après un reset de mot de passe si les sessions/tokens ne sont pas révoqués.
• Opérations et panneau client: Le service, vendu via Telegram/Signal (ex. 120 $/10 jours, 350 $/mois), s’administre via un panneau web offrant templates, fichiers leurres (EML, PDF, QR codes), logique de redirection, rotation de sous‑domaines, Cloudflare Workers, configuration des CAPTCHA et tracking détaillé (MFA utilisée, cookies capturés), avec exfiltration vers Telegram. Il ne fournit pas l’envoi d’emails mais centralise la configuration, le suivi en temps réel et des mises à jour régulières.
• Infrastructure et évasion: L’infrastructure a évolué vers des FQDN éphémères (24–72 h) massivement hébergés sur Cloudflare, avec une large diversité de TLD bon marché (.space, .email, .solutions, .live, .today, .calendar, ainsi que .sa[.]com, .in[.]net, .com[.]de). Les sous‑domaines passent de chaînes à forte entropie à des mots lisibles évoquant des workflows/tech (cloud, desktop, python, faq) ou des marques SaaS (docker, zendesk, azure, microsoft, sharepoint, onedrive, nordvpn) pour réduire la suspicion et contourner les modèles basés sur l’entropie.
• Chaîne d’attaque, leurres et anti‑analyse: Les emails de phishing utilisent des liens ou pièces jointes (PDF/DOCX avec QR, SVG avec redirections, HTML courts, liens se faisant passer pour des services de confiance), souvent depuis des comptes compromis. Flux typique: email → chaînes de redirection multi‑hôtes (Azure Blob, Firebase, Wix, TikTok, Google) avec URI encodées → CAPTCHA personnalisés → page de connexion clonée → relais AiTM et vol de token. Défenses contournées via anti‑bot, fingerprinting navigateur, JavaScript/HTML fortement ofbusqués, CAPTCHA custom (HTML5 canvas), géorestriction, filtrage IP datacenter, détection d’automatisation (PhantomJS, Burp), blocage DevTools, dead code, encodages Base64/91, et redirections leurre/404 en cas d’analyse.
• Mitigations, détections et chasse: Microsoft recommande la MFA résistante au phishing (FIDO2, Windows Hello for Business, passkeys Authenticator) et, en cas de compromission, de réinitialiser le mot de passe et révoquer les sessions, vérifier/re‑enregistrer les appareils MFA, annuler changements financiers, supprimer règles de boîte, puis valider la reconfiguration MFA. Côté protection: réglages EOP/Defender for Office 365, Safe Links/Safe Attachments, ZAP, Network Protection (MDE), SmartScreen, protection cloud‑delivered, Attack Simulator, Automatic attack disruption (Defender XDR), Entra ID Conditional Access. Des alertes Defender/XDR spécifiques aux AiTM et des requêtes Advanced Hunting (ex. AADSignInEventsBeta, UrlClickEvents) sont fournies.
IOCs (exemples de FQDN/URL observés, defanged):
- Juil. 2025: hxxps://qonnfp.wnrathttb[.]ru/Fe2yiyoKvg3YTfV!/ $EMAIL_ADDRESS ; hxxps://piwf.ariitdc[.]es/kv2gVMHLZ@dNeXt/$EMAIL_ADDRESS ; hxxps://q9y3.efwzxgd[.]es/MEaap8nZG5A@c8T/*EMAIL_ADDRESS ; hxxps://kzagniw[.]es/LI6vGlx7@1wPztdy
- Déc. 2025: hxxps://immutable.nathacha[.]digital/T@uWhi6jqZQH7/#?EMAIL_ADDRESS ; hxxps://mock.zuyistoo[.]today/pry1r75TisN5S@8yDDQI/$EMAIL_ADDRESS ; hxxps://astro.thorousha[.]ru/vojd4e50fw4o!g/$ENCODEDEMAIL_ADDRESS ; hxxps://branch.cricomai[.]sa[.]com/b@GrBOPttIrJA/*EMAIL_ADDRESS ; hxxps://mysql.vecedoo[.]online/JB5ow79@fKst02/#EMAIL_ADDRESS ; hxxps://backend.vmfuiojitnlb[.]es/CGyP9!CbhSU22YT2/
- TLD/2LD fréquemment vus: .space, .email, .solutions, .live, .today, .calendar, .sa[.]com, .in[.]net, .com[.]de
TTPs clés:
- Initial access: campagnes phishing via PDF/DOCX+QR, SVG, HTML, liens de confiance; usage de comptes compromis
- Execution/Collection: AiTM proxy, interception identifiants + cookies/session, relais MFA
- Defense evasion: CAPTCHA custom, ofbuscation JS/HTML, fingerprinting, géorestriction, filtrage IP DC, détection outils d’automatisation, redirections leurres
- Command and Control/Exfil: exfiltration via bots Telegram
- Infrastructure: rotation rapide de sous‑domaines, Cloudflare/Workers, chaînes de redirection multi‑hôtes
Conclusion: Article d’analyse de menace visant à documenter l’évolution, l’infrastructure, les TTPs et la télémétrie de détection autour de Tycoon2FA, avec guidances de mitigation et de hunting.
🧠 TTPs et IOCs détectés
TTP
[‘Initial Access: Phishing campaigns via PDF/DOCX+QR, SVG, HTML, trusted links; use of compromised accounts’, ‘Execution/Collection: Adversary-in-the-Middle (AiTM) proxy, interception of credentials + session cookies, MFA relay’, ‘Defense Evasion: Custom CAPTCHA, obfuscation of JS/HTML, fingerprinting, georestriction, data center IP filtering, automation tool detection, decoy redirections’, ‘Command and Control/Exfiltration: Exfiltration via Telegram bots’, ‘Infrastructure: Rapid subdomain rotation, Cloudflare/Workers, multi-host redirection chains’]
IOC
[‘hxxps://qonnfp.wnrathttb[.]ru/Fe2yiyoKvg3YTfV!/$EMAIL_ADDRESS’, ‘hxxps://piwf.ariitdc[.]es/kv2gVMHLZ@dNeXt/$EMAIL_ADDRESS’, ‘hxxps://q9y3.efwzxgd[.]es/MEaap8nZG5A@c8T/*EMAIL_ADDRESS’, ‘hxxps://kzagniw[.]es/LI6vGlx7@1wPztdy’, ‘hxxps://immutable.nathacha[.]digital/T@uWhi6jqZQH7/#?EMAIL_ADDRESS’, ‘hxxps://mock.zuyistoo[.]today/pry1r75TisN5S@8yDDQI/$EMAIL_ADDRESS’, ‘hxxps://astro.thorousha[.]ru/vojd4e50fw4o!g/$ENCODEDEMAIL_ADDRESS’, ‘hxxps://branch.cricomai[.]sa[.]com/b@GrBOPttIrJA/*EMAIL_ADDRESS’, ‘hxxps://mysql.vecedoo[.]online/JB5ow79@fKst02/#EMAIL_ADDRESS’, ‘hxxps://backend.vmfuiojitnlb[.]es/CGyP9!CbhSU22YT2/’, ‘.space’, ‘.email’, ‘.solutions’, ‘.live’, ‘.today’, ‘.calendar’, ‘.sa[.]com’, ‘.in[.]net’, ‘.com[.]de’]
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2026/03/04/inside-tycoon2fa-how-a-leading-aitm-phishing-kit-operated-at-scale/