NARCO OBSERVATORIO
🛡 CIBERCRIMEN 🛡

Coalición global desmantela kit de phishing Tycoon 2FA

🛡CyberObservatorio
Idioma
◢ CIBERCRIMEN ◣

Coalición global desmantela kit de phishing Tycoon 2FA

⟫ 04/03/2026 ⟫ Matt Kapko
Fuente: CyberScoop

**Desmantelamiento de Tycoon 2FA: Un Golpe a la Amenaza del Phishing en la Autenticación Multifactor**

En un contexto cada vez más amenazante para la ciberseguridad, el desmantelamiento de Tycoon 2FA, una plataforma de phishing de gran envergadura, resalta la urgencia de abordar las vulnerabilidades en los sistemas de autenticación multifactor (MFA). La importancia de este acontecimiento radica en su impacto en millones de usuarios y organizaciones a nivel global, especialmente en sectores críticos como la educación y la salud. Este tipo de ataques no solo comprometen información sensible, sino que también pueden paralizar operaciones esenciales y poner en riesgo la seguridad de los datos personales.

Tycoon 2FA, que se lanzó en agosto de 2023, permitió a cibercriminales de baja habilidad eludir la autenticación multifactor y llevar a cabo ataques adversarios en el medio (adversary-in-the-middle). Según Microsoft, que lideró la operación junto a Europol y agencias de seis países, se incautaron 330 dominios que sustentaban la infraestructura central de Tycoon 2FA, incluidos paneles de control y páginas de inicio de sesión fraudulentas. Este kit de phishing fue responsable de decenas de millones de mensajes de phishing que alcanzaron a más de 500,000 organizaciones cada mes, convirtiéndose en uno de los mayores problemas de seguridad cibernética del momento.

Los detalles técnicos detrás de Tycoon 2FA revelan un complejo funcionamiento. Este kit fue desarrollado y promovido por un grupo que Microsoft identifica como Storm-1747, y fue vendido a cibercriminales a través de plataformas como Telegram y Signal a un costo de 350 dólares al mes. Proporcionaba una interfaz intuitiva donde los delincuentes podían configurar, rastrear y optimizar sus campañas de phishing. Además, incluía plantillas preconstruidas, archivos adjuntos para engaños comunes, así como la configuración de dominios y lógica de redirección. En noviembre de 2025, el volumen mensual de mensajes de phishing atribuibles a Tycoon 2FA alcanzó su punto máximo con más de 30 millones de mensajes.

El impacto de esta operación es significativo. Según Steven Masada, abogado general asistente en la Unidad de Crímenes Digitales de Microsoft, para mediados de 2025, Tycoon 2FA representaba aproximadamente el 62% de todos los intentos de phishing que Microsoft bloqueó, lo que se traduce en más de 30 millones de correos electrónicos en un solo mes. La plataforma afectó a sectores críticos, como la educación y la salud, donde más de 100 miembros de Health-ISAC, un co-demandante en el caso judicial, fueron víctimas de ataques exitosos. Hospitales, escuelas y universidades en Nueva York reportaron incidentes que interrumpieron operaciones, desviaron recursos y retrasaron la atención a pacientes.

El desmantelamiento de Tycoon 2FA fue posible gracias a una colaboración internacional que incluyó a autoridades de países como Letonia, Lituania, Portugal, Polonia, España y el Reino Unido, así como a diversas empresas de seguridad cibernética. Microsoft y Health-ISAC presentaron una demanda civil contra Saad Fridi, presunto creador del kit de phishing, y otros cuatro asociados, pidiendo una indemnización de 10 millones de dólares por el desarrollo y venta de Tycoon 2FA. El fallo judicial permitió a Microsoft desmantelar y tomar control de la infraestructura técnica detrás de esta amenaza.

La investigación también ha revelado que Tycoon 2FA es responsable del mayor volumen de ataques de phishing adversarios en el medio observados por Proofpoint. Según Selena Larson, investigadora de amenazas de la compañía, se anticipa una disminución significativa de estos ataques tras la operación. La facilidad de uso y las capacidades robustas de Tycoon 2FA contribuyeron a su popularidad, con un código que se actualizaba regularmente y una alta rotación de subdominios que complicaba la detección y el bloqueo de nuevas campañas.

Este desmantelamiento forma parte de una reciente ola de acciones contra el cibercrimen, que también incluyó operaciones contra otros actores como Racoon0365 y la operación de malware Lumma Stealer, que comprometió aproximadamente 10 millones de sistemas. A medida que las amenazas evolucionan, la comunidad de seguridad cibernética debe permanecer alerta y adaptarse a las cambiantes tácticas de los cibercriminales.

En conclusión, la desarticulación de Tycoon 2FA no solo representa un avance significativo en la lucha contra el phishing, sino que también subraya la necesidad de colaboración internacional en la ciberseguridad. Las organizaciones deben reforzar sus defensas y educar a sus empleados sobre los riesgos del phishing para mitigar el impacto de estas amenazas en el futuro.

◢ CIBERCRIMEN ◣

Global coalition dismantles Tycoon 2FA phishing kit

⟫ 04/03/2026 ⟫ Matt Kapko
Source: CyberScoop

Tycoon 2FA, a major phishing kit and platform that allowed low-skilled cybercriminals to bypass multifactor authentication and conduct large-scale adversary-in-the-middle attacks, wasdismantled Wednesday by a global coalitionof security companies and law enforcement agencies. Microsoft, which led the effort alongside Europol and authorities from six countries and 11 security firms or organizations, said it seized 330 domains that powered Tycoon 2FA’s core infrastructure, including control panels and fraudulent login pages. The platform, which emerged in August 2023, wasresponsible for tens of millions of phishing messagesthat reached more than 500,000 organizations globally each month, according to Microsoft Threat Intelligence. Thousands of cybercriminals used Tycoon 2FA to break into email and online services, including Microsoft 365, Outlook, SharePoint, OneDrive and Google services. “By mid‑2025, Tycoon 2FA accounted for approximately 62% of all phishing attempts Microsoft blocked, including more than 30 million emails in a single month. That placed Tycoon 2FA among the largest phishing operations globally,” Steven Masada, assistant general counsel at Microsoft’s Digital Crimes Unit, said in ablog postabout the takedown. “Despite extensive defenses, the service is linked to an estimated 96,000 distinct phishing victims worldwide since 2023, including more than 55,000 Microsoft customers,” Masada added. The phishing kit, which was developed and advertised by a group Microsoft tracks as Storm-1747, was sold to cybercriminals on Telegram and Signal for $350 a month. The platform provided core components for phishing on a single dashboard that allowed cybercriminals to configure, track and refine their campaigns. The platform also provided cybercriminals with pre-built templates, attachment files for common phishing lures, domain and hosting configuration and redirect logic, Microsoft said. The monthly volume of phishing messages attributed to Tycoon 2FA peaked at more than 30 million messages in November 2025. Organizations in education and health care were hit hardest by phishing attacks enabled by Tycoon 2FA. More than 100 members of Health-ISAC, a co-plaintiff in thecourt casefiled in the U.S. District Court for the Southern District of New York, were successfully phished, Masada said. Two hospitals, six schools and three universities in New York confronted attempts or successful compromises via Tycoon 2FA, resulting in incidents that disrupted operations, diverted resources and delayed patient care, he added. Microsoft and Health-ISAC filed acivil complaintagainst alleged creator Saad Fridi and four unnamed associates, demanding a $10 million injunction, for developing, running and selling Tycoon 2FA. The court order allowed Microsoft to dismantle and take ownership of Tycoon 2FA’s technical infrastructure. Authorities from Latvia, Lithuania, Portugal, Poland, Spain and the United Kingdom assisted with the operation alongside Cloudflare, Coinbase, Crowell & Moring, eSentire, Intel 471, Proofpoint, Resecurity, Shadowserver, SpyCloud and Trend Micro. Selena Larson, staff threat researcher at Proofpoint who provided aformal declaration in support of the court order, said Tycoon 2FA was responsible for the highest volume of adversary-in-the-middle phishing attacks observed by Proofpoint. “Tycoon was the biggest MFA phishing threat in our data, and we anticipate seeing a significant decrease after this operation,” she told CyberScoop. “Many customers will find their hacking tool is no longer working, and even if Tycoon 2FA is able to create new domains and infrastructure, the brand will be significantly harmed, with customers either purchasing less effective phishing kit, or potentially rethinking their life choices and getting out of the game,” Larson added. Tycoon 2FA’s easy-to-use and robust capabilities contributed to its popularity, researchers said. The platform’s codebase was updated regularly and operators generated a high volume of subdomains for brief periods before abandoning them and moving on to new domains. Researchers said the rapid turnover and shifts to temporary infrastructure complicated efforts to detect and block new campaigns. The Tycoon 2FA takedown follows arecent wave of cybercrime crackdowns, including actions againstRacoon0365and theLumma Stealer infostealer operation, whichinfected about 10 million systems. The postGlobal coalition dismantles Tycoon 2FA phishing kitappeared first onCyberScoop.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD