🌐 Contexte

Cet article est publié le 24 mars 2026 par CrowdStrike sur son blog officiel. Il analyse l’impact de l’opération de démantèlement de Tycoon2FA, une plateforme Phishing-as-a-Service (PhaaS) par abonnement, annoncée par Europol le 4 mars 2026.

🎯 Description de la menace

Tycoon2FA est opérationnelle depuis 2023. Elle fournit un kit de phishing basé sur des techniques adversary-in-the-middle (AITM) permettant de contourner l’authentification multifacteur (MFA). En mi-2025, elle était responsable de 62% de toutes les tentatives de phishing bloquées par Microsoft et aurait généré plus de 30 millions d’emails malveillants en un seul mois.

🔧 TTPs observées

  • Envoi d’emails de phishing redirigeant vers des pages CAPTCHA Tycoon2FA
  • Vol de cookies de session lors de la validation CAPTCHA
  • Extraction des adresses email via un fichier JavaScript
  • Affichage de fausses pages de connexion Microsoft 365 ou Google
  • Proxying des identifiants vers un compte Microsoft 365 légitime via un fichier JS obfusqué
  • Authentification dans l’environnement cloud de la victime avec les cookies et identifiants volés
  • Post-compromission : création de règles de boîte de réception suspectes et de dossiers pour dissimuler des emails de fraude financière (BEC)

🚔 Opération de démantèlement

L’opération coordonnée du 4 mars 2026 a impliqué Europol (EC3) et les autorités de Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume-Uni, ainsi que des partenaires industriels. 330 domaines constituant l’infrastructure de la plateforme ont été saisis. Aucune arrestation n’a été signalée.

📉 Impact immédiat et résurgence

  • Les volumes d’activité ont chuté à 25% des niveaux pré-disruption les 4 et 5 mars 2026
  • Dès les jours suivants, les volumes sont revenus aux niveaux du début 2026
  • Les TTPs n’ont pas changé après le démantèlement
  • Entre le 4 et le 6 mars 2026, Falcon Complete a répondu à au moins 30 incidents impliquant au moins 12 pages de capture de credentials
  • Les connexions automatisées post-compromission proviennent d’adresses IPv6 de M247 Europe SRL (Roumanie) ; 8 des 11 adresses IP observées ont été acquises après la disruption

🔗 Infrastructure post-disruption

Les campagnes post-disruption ont utilisé :

  • URLs malveillantes directes
  • Services de raccourcissement d’URL
  • Liens vers des logiciels de présentation légitimes avec redirections malveillantes
  • Infrastructure enregistrée par les acteurs imitant des entités du secteur de la construction
  • Infrastructure SharePoint compromise pour distribuer des fichiers XLSX/PDF contenant des URLs de redirection
  • Infrastructure Cloudflare r2.dev et workers.dev associée au kit Salty2FA

📌 Type d’article

Il s’agit d’une analyse de menace publiée par CrowdStrike, visant à documenter la résilience opérationnelle de Tycoon2FA après une opération de démantèlement coordonnée, et à fournir des IOCs exploitables aux défenseurs.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Tycoon2FA (cybercriminal)

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1557 — Adversary-in-the-Middle (Credential Access)
  • T1539 — Steal Web Session Cookie (Credential Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1114.003 — Email Collection: Email Forwarding Rule (Collection)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1036 — Masquerading (Defense Evasion)
  • T1583.001 — Acquire Infrastructure: Domains (Resource Development)
  • T1586.002 — Compromise Accounts: Email Accounts (Resource Development)
  • T1608.005 — Stage Capabilities: Link Target (Resource Development)

IOC

  • IPv6 : 2a0d:5600:8:94::440:e534
  • IPv6 : 2a0d:5600:8:2e:0:1:62fe:e6b9
  • IPv6 : 2a0d:5600:8:2e:0:1:d823:a25a
  • IPv6 : 2a0d:5600:8:2e:0:1:25dd:3b4a
  • IPv6 : 2a0d:5600:8:2e:0:1:7d4:e433
  • IPv6 : 2a0d:5600:8:2e:0:1:65f4:6a3c
  • IPv6 : 2a0d:5600:8:2e:0:1:3f55:3b5c
  • IPv6 : 2a0d:5600:8:94::d439:3ac9
  • IPv6 : 2a0d:5600:8:2e:0:1:1d6e:ff40
  • IPv6 : 2a0d:5600:8:94::f2cd:9d43
  • Domaines : 811inboard.aeroprimelink.za.com
  • Domaines : annotation.hanoufra.ltd
  • Domaines : awssecrets.saidiosea.dev
  • Domaines : electron.c8zoeh.com
  • Domaines : hub.thadrodrai.business
  • Domaines : omegaenergy.com.np
  • Domaines : pass.aeroprimelink.za.com
  • Domaines : pub-9ee1bf400ea645748830bc408aa2b88a.r2.dev
  • Domaines : traelyst.dk
  • Domaines : twig.lifeworkinc.com

Malware / Outils

  • Tycoon2FA (other)
  • Salty2FA (other)
  • RaccoonO365 (other)

🔗 Source originale : https://www.crowdstrike.com/en-us/blog/tycoon2fa-phishing-as-a-service-platform-persists-following-takedown/