Uma operação internacional liderada pela Europol, com apoio de empresas de segurança e autoridades policiais de diversos países, desmantelou a infraestrutura do Tycoon 2FA, um dos maiores serviços de phishing-as-a-service (PhaaS) do mundo. A plataforma era utilizada por grupos hackers para realizar ataques de adversary-in-the-middle (AiTM) em larga escala, permitindo o roubo de credenciais, códigos de autenticação multifator (MFA) e cookies de sessão.

O Tycoon 2FA operava em modelo de assinatura e foi identificado pela primeira vez em agosto de 2023. O kit era comercializado principalmente por meio de Telegram e Signal, com preços a partir de US$ 120 por 10 dias de acesso ou US$ 350 por um mês de uso completo do painel web. O principal desenvolvedor da plataforma teria sido identificado como Saad Fridi, supostamente baseado no Paquistão.

Painel permitia controlar campanhas massivas de phishing

O serviço oferecia um painel de administração completo, usado pelos operadores para configurar campanhas de phishing, acompanhar vítimas e gerenciar a infraestrutura maliciosa. A ferramenta incluía:

• Modelos prontos de páginas de login falsas, imitando serviços populares;

• Arquivos de anexos usados como iscas em e-mails fraudulentos;

• Configuração de domínios e hospedagem para páginas de phishing;

• Lógica de redirecionamento para enganar usuários e sistemas de detecção;

• Monitoramento em tempo real de tentativas de login válidas e inválidas.

As credenciais roubadas, códigos MFA e cookies de sessão podiam ser baixados diretamente do painel ou enviados automaticamente para canais do Telegram, permitindo que os operadores acompanhassem os resultados das campanhas quase em tempo real.

Segundo a Europol, a plataforma permitiu que milhares de hackers acessassem contas de e-mail e serviços em nuvem de forma clandestina, gerando dezenas de milhões de e-mails de phishing por mês e facilitando o acesso não autorizado a cerca de 100 mil organizações em todo o mundo, incluindo escolas, hospitais e instituições públicas.

Infraestrutura com centenas de domínios foi derrubada

Durante a operação conjunta, 330 domínios utilizados pela infraestrutura criminosa foram derrubados, incluindo páginas de phishing e painéis de controle utilizados pelos operadores.

Análises da empresa de inteligência Intel 471 indicam que o Tycoon 2FA esteve ligado a mais de 64 mil incidentes de phishing e à criação de dezenas de milhares de domínios maliciosos.

A Microsoft, que monitora os operadores sob o codinome Storm-1747, afirmou que o Tycoon 2FA se tornou a plataforma de phishing mais prolífica observada pela empresa em 2025. Apenas em outubro de 2025, foram bloqueados mais de 13 milhões de e-mails maliciosos associados ao serviço.

No pico da atividade, o Tycoon 2FA chegou a representar 62% de todas as tentativas de phishing bloqueadas pela Microsoft em meados de 2025, incluindo mais de 30 milhões de e-mails em um único mês.

Desde 2023, estima-se que a plataforma tenha afetado aproximadamente 96 mil vítimas de phishing, incluindo mais de 55 mil clientes da Microsoft.

Empresas eram o principal alvo

Dados analisados pela SpyCloud mostram que os Estados Unidos concentraram o maior número de vítimas identificadas, com 179.264 contas comprometidas, seguidos por:

• Reino Unido (16.901)

• Canadá (15.272)

• Índia (7.832)

• França (6.823)

A análise revelou que a maioria das contas visadas pertencia a ambientes corporativos, indicando que a plataforma era direcionada principalmente a empresas, e não a usuários individuais.

Já a Proofpoint registrou mais de 3 milhões de mensagens maliciosas associadas ao Tycoon 2FA apenas em fevereiro de 2026, enquanto a Trend Micro estimou que o serviço possuía cerca de 2 mil usuários ativos, responsáveis por lançar campanhas contra praticamente todos os setores.

Entre os setores mais visados estavam educação, saúde, finanças, organizações sem fins lucrativos e governo. Em média, os e-mails enviados pelo kit atingiam mais de 500 mil organizações por mês.

Ataques imitavam serviços populares

A plataforma permitia que invasores criassem páginas falsas quase idênticas às de serviços amplamente utilizados, como:

• Microsoft 365

• OneDrive

• Outlook

• SharePoint

• Gmail

Esses ataques funcionavam interceptando o processo de autenticação do usuário. Durante o login, o sistema malicioso capturava simultaneamente credenciais, códigos MFA e cookies de sessão, que eram repassados aos invasores.

Esse método permitia manter acesso às contas mesmo após a troca de senha, caso as sessões ativas e tokens de autenticação não fossem revogados.

Técnicas avançadas para evitar detecção

Para dificultar a identificação e bloqueio das campanhas, o Tycoon 2FA incorporava diversos mecanismos avançados, como:

• Monitoramento de digitação (keystroke logging)

• Filtragem de bots e scanners automáticos

• Fingerprinting de navegador

• Ofuscação pesada de código

• CAPTCHAs próprios hospedados na infraestrutura criminosa

• JavaScript personalizado

• Páginas de isca dinâmicas para confundir ferramentas de análise

Outro recurso importante era o uso de domínios temporários, geralmente ativos por apenas 24 a 72 horas. Essa rotação constante dificultava a criação de listas de bloqueio confiáveis.

Técnica de “ATO Jumping” ampliava os ataques

Os operadores também utilizavam uma estratégia chamada ATO Jumping, em que contas de e-mail já comprometidas eram usadas para enviar novas mensagens de phishing.

Dessa forma, os e-mails pareciam vir de contatos confiáveis da vítima, aumentando significativamente as chances de novos compromissos de contas.

Phishing continua sendo porta de entrada para ataques maiores

Pesquisas da Proofpoint indicam que 99% das organizações sofreram tentativas de sequestro de contas em 2025, e 67% registraram compromissos bem-sucedidos.

Entre essas contas invadidas, 59% tinham MFA habilitado, demonstrando que ataques AiTM conseguem contornar esse mecanismo quando implementados de forma inadequada.

O acesso a contas corporativas costuma ser o primeiro passo de cadeias de ataque mais complexas, que podem evoluir para roubo de dados sensíveis, espionagem ou ataques de ransomware.