Tycoon 2FA, uno de los destacados conjuntos de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes llevar a cabo ataques de recolección de credenciales de intermediario (AitM) a gran escala, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.
Lanzado por primera vez en agosto de 2023, Europol describió este kit de phishing basado en suscripción como una de las operaciones de phishing más grandes del mundo. El kit estaba disponible por un precio inicial de $120 por 10 días o $350 por un mes de acceso al panel de administración basado en la web.
Este panel actúa como su centro para configurar, rastrear y ajustar sus campañas. Incluye plantillas prediseñadas, archivos adjuntos comunes tipo señuelo, configuración de dominio y alojamiento, lógica de redireccionamiento y seguimiento de víctimas. Los operadores también pueden configurar cómo se entrega el contenido malicioso a través de archivos adjuntos y monitorear los intentos de inicio de sesión válidos e inválidos.
La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente dentro del panel o transferir a Telegram para un monitoreo casi en tiempo real.
«Esto dio a miles de ciberdelincuentes acceso clandestino al correo electrónico y a cuentas de servicios basados en la nube», dijo Europol. «A escala, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el acceso no autorizado a aproximadamente 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas».
Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral de los servicios criminales, incluidas páginas de phishing y paneles de control.
Intel 471 caracterizó a Tycoon 2FA como «peligroso» y dijo que el kit ha sido vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, y genera decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea al operador del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada en 2025, bloqueando más de 13 millones de correos electrónicos maliciosos vinculados a servicios de crimeware.
Cronología de la evolución de Tycoon 2FA (Fuente: Point Wild)
Los datos de Proofpoint muestran que Tycoon 2FA representó el mayor volumen de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico anunció que observó más de 3 millones de mensajes relacionados con kits de phishing solo en febrero de 2026. Trend Micro, uno de los socios del sector privado en la operación, dijo que la plataforma PhaaS tiene alrededor de 2.000 usuarios.
Las campañas impulsadas por Tycoon 2FA se dirigen indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de lucro y el gobierno. Los correos electrónicos de phishing enviados desde este kit llegaron a más de 500.000 organizaciones en todo el mundo cada mes.
«La plataforma de Tycoon 2FA permitió a los atacantes hacerse pasar por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail», dijo Microsoft.
«También permitió a los atacantes usar ese servicio para establecer persistencia y acceder a información confidencial incluso después de que se restablecieran las contraseñas, a menos que las sesiones activas y los tokens se revocaran explícitamente. Funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación y capturando simultáneamente las credenciales del usuario. Luego, el código MFA se transmitió al servicio de autenticación a través del servidor proxy de Tycoon 2FA».
El kit también utilizó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para evadir los esfuerzos de detección. Otro aspecto importante es el uso de una amplia combinación de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) a corto plazo para alojar nuestra infraestructura de phishing en Cloudflare.
Los FQDN suelen durar sólo de 24 a 72 horas. La rápida rotación es un esfuerzo deliberado para complicar la detección y evitar la construcción confiable de listas de bloqueo. Microsoft también atribuye el éxito de Tycoon 2FA a que imita fielmente el proceso de autenticación legítimo para interceptar de forma encubierta las credenciales de usuario y los tokens de sesión.
Para empeorar las cosas, los clientes de Tycoon 2FA utilizaron una técnica conocida como ATO Jumping, utilizando cuentas de correo electrónico comprometidas para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. «Esta técnica se puede utilizar para hacer que el correo electrónico parezca provenir de un contacto confiable de la víctima, lo que aumenta la probabilidad de una infracción exitosa», señaló Proofpoint.
Los kits de phishing como Tycoon están diseñados para ser lo suficientemente flexibles como para ser accesibles a atacantes sin conocimientos técnicos y, al mismo tiempo, ofrecer funciones avanzadas a operadores experimentados.
«En 2025, el 99% de las organizaciones experimentarán un intento de apropiación de cuentas y el 67% experimentarán una apropiación de cuentas exitosa», dijo Serena Larson, investigadora de amenazas de Proofpoint, en un comunicado compartido con Hacker News. «De ellas, el 59% de las cuentas comprometidas tenían MFA habilitado. Si bien no todos estos ataques están relacionados con Tycoon MFA, esto ilustra el impacto del phishing de AiTM en las empresas».
«Estos ciberataques, que permiten el control total de las cuentas, pueden causar efectos desastrosos como ransomware y pérdida de datos confidenciales. Obtener acceso a cuentas de correo electrónico corporativas es a menudo el primer paso en cadenas de ataques que pueden tener consecuencias devastadoras, a medida que los actores de amenazas continúan dando prioridad a la identidad».
Source link
