Microsoft, Europol și o coaliție de parteneri din industrie au anunțat marți neutralizarea coordonată a Tycoon 2FA, una dintre cele mai mari operațiuni de phishing-as-a-service descoperite vreodată. Acționând în baza unei hotărâri judecătorești din partea Tribunalului Districtual al Statelor Unite pentru Districtul de Sud al statului New York, Microsoft a confiscat 330 de domenii active care alimentau infrastructura principală a platformei, în timp ce autoritățile de aplicare a legii din șase țări europene au efectuat confiscări suplimentare.
Operațiunea marchează prima dată când Microsoft a coordonat o acțiune de perturbare prin intermediul Programului de Extindere a Inteligenței Cibernetice al Europol, un cadru conceput pentru a depăși simpla partajare a informațiilor și a trece la acțiuni de aplicare a legii transfrontaliere.
O mașinărie industrializată de phishing
Tycoon 2FA, activ din august 2023, nu a fost o simplă campanie de phishing, ci un serviciu criminal bazat pe abonament. Pentru aproximativ 120 de dolari per licență de 10 zile, circa 2.000 de abonați activi au avut acces la un set de instrumente gata de utilizare care includea pagini false de autentificare, straturi proxy și infrastructură pentru campanii. Platforma a folosit tehnici de tip adversary-in-the-middle pentru a intercepta sesiuni de autentificare în timp real, capturând acreditări, coduri de unică folosință și cookie-uri de sesiune în direct — făcând practic inutilă autentificarea multifactor.
Până la jumătatea anului 2025, Tycoon 2FA reprezenta aproximativ 62 la sută din toate tentativele de phishing blocate de Microsoft, cu peste 30 de milioane de e-mailuri frauduloase trimise într-o singură lună care au ajuns la peste 500.000 de organizații din întreaga lume. Serviciul este asociat cu un număr estimat de 96.000 de victime ale phishing-ului de la lansare, inclusiv peste 55.000 de clienți Microsoft. Organizațiile din sănătate și educație au fost cele mai afectate, cu cel puțin două spitale, șase școli și trei universități doar în New York care au fost compromise.
Urmărirea operatorilor
TrendAI, unitatea de securitate enterprise a Trend Micro, a jucat un rol central în atribuire. Până în noiembrie 2025, cercetătorii săi au legat operațiunea de un individ care folosea pseudonimele SaaadFridi și MrXaad, considerat a fi dezvoltatorul platformei și operatorul principal. Microsoft a identificat această persoană ca fiind Saad Fridi, despre care se crede că are sediul în Pakistan.
„Aceasta nu a fost o simplă campanie de phishing. A fost un serviciu industrializat construit pentru a face ocolirea MFA accesibilă miilor de infractori”, a declarat Robert McArdle, director pentru cercetarea criminalității cibernetice la TrendAI.
O coaliție mai amplă
Parteneriatul s-a extins mult dincolo de Microsoft și Europol. Cloudflare a dezactivat infrastructura aflată în afara jurisdicției SUA, Coinbase a contribuit la urmărirea fondurilor furate, iar autoritățile de aplicare a legii din Letonia, Lituania, Portugalia, Polonia, Spania și Regatul Unit au desfășurat operațiuni paralele. Proofpoint, Intel 471, eSentire, SpyCloud, Resecurity și Shadowserver Foundation au contribuit cu informații sau suport operațional.
Această acțiune de demontare succedă unei serii de perturbări recente conduse de Microsoft care vizează lanțul de aprovizionare al criminalității cibernetice, inclusiv operațiuni împotriva Lumma Stealer și RedVDS la începutul acestui an. Experții în securitate avertizează că, deși perturbarea reprezintă o lovitură pentru ecosistemul de phishing, credențialele furate și cookie-urile de sesiune din campaniile anterioare Tycoon 2FA ar putea fi în continuare în circulație, iar platformele rivale rămân active.
Surse:
https://blogs.microsoft.com/on-the-issues/2026/03/04/how-a-global-coalition-disrupted-tycoon/