Tycoon2FA vender tilbage efter politiindsats

Eskil Sørensen
03.24.2026 09:41
PhaaS‑tjeneste genoptager aktivitet få dage efter nedtagning af 330 domæner

Phishing‑as‑a‑service‑platformen Tycoon2FA er tilsyneladende tilbage på tidligere aktivitetsniveauer, blot få dage efter en international politiaktion. Aktionen, der teknisk var styret af Microsoft og koordineret af Europol, omfattede beslaglæggelse af 330 domæner, der dannede en central del af platformens infrastruktur.

Det skriver Bleeping Computer.

Glæden varede kort

Ifølge en ny rapport fra CrowdStrike var afbrydelsen dog kortvarig. CrowdStrikes overvågning viser, at kampagnevolumen faldt til cirka 25 procent af det normale niveau den 4. og 5. marts. Derefter steg aktiviteten igen og nåede inden for få dage samme niveauer som i starten af 2026.

Dermed er Tycoon2FA tilbage til at levere fuldt operationelle phishing‑tjenester, herunder støtte til kompromittering af cloud‑konti, business email compromise (BEC), e‑mailtråd‑kapring og distribution af ondsindede SharePoint‑links.

Tycoon2FA blev oprindeligt beskrevet offentligt af Sekoia for to år siden som en PhaaS‑platform målrettet Microsoft 365‑ og Gmail‑brugere. Gennem en såkaldt adversary‑in‑the‑middle‑teknik kan platformen omgå to‑faktor‑autentifikation og dermed give angribere direkte adgang til brugernes konti.

Tjenesten har været i løbende udvikling. Trustwave dokumenterede sidste år, at operatørerne løbende forbedrer funktionaliteten og tiltrækker flere aktører på det kriminelle marked.

Microsoft har tidligere anslået, at Tycoon2FA stod bag omkring 30 millioner phishing‑e‑mails om måneden, svarende til 62 procent af alle blokerede phishing‑mails i deres økosystem.

Uændrede metoder – og delvist overlevende infrastruktur

CrowdStrike vurderer, at Tycoon2FA efter politiaktionen fortsætter med stort set de samme teknikker, taktikker og procedurer (TTP’er) som før indgrebet.

Platformen benytter fortsat:

  • URL‑forkortere og andre omdirigeringsmekanismer
  • Legitime værktøjer, herunder præsentationsplatforme, hvor omdirigering misbruges
  • Kompromitterede domæner
  • AI‑genererede lokkesider

Bemærkelsesværdigt er det, skriver Bleeping Computer, at dele af den gamle infrastruktur forblev aktiv på trods af nedtagningen. Samtidig blev nye domæner og IP‑adresser registreret kort efter politiaktionen.

CrowdStrike konkluderer, at fraværet af anholdelser og fysiske beslaglæggelser gør det relativt enkelt for operatørerne bag Tycoon2FA at genetablere infrastrukturen. Så længe efterspørgslen efter phishing‑tjenester forbliver høj, vil der være et marked – og et incitament – for PhaaS‑platforme som Tycoon2FA.

Læs mere

Information