Jaruwan photo - stock.adobe.com

Actualites

La plateforme de hameçonnage Tycoon2FA démantelée

Une opération menée par Europol contre le célèbre service de phishing avec contournement de MFA Tycoon2FA a été couronnée de succès : les activités ont été interrompues et les meneurs ont été identifiés.

par
Publié le: 05 mars 2026

Tycoon2FA, un service clandestin de hameçonnage qui permettait à ses abonnés d'intercepter des sessions d'authentification en direct, de capturer des identifiants, des codes d'accès à usage unique et des cookies de session actifs afin de contourner l'authentification à facteurs multiples (MFA), a été démantelé dans le cadre d'une opération menée par Europol avec le soutien d'une coalition de partenaires industriels, dont Cloudflare, Microsoft, Proofpoint et l'unité TrendAI de Trend Micro.

Cette opération était le résultat d'une collaboration à long terme contre Tycoon2FA, actif depuis l'été 2023. Au cours des trois dernières années et demie, les utilisateurs de Tycoon2FA ont exploité plus de 24 000 domaines dans le cadre de campagnes visant principalement les services Microsoft 365 et Google, en particulier Gmail.

La majorité de ses victimes – un peu moins de 52 % – se trouvaient aux États-Unis, environ 8 % au Royaume-Uni, 5 % en Allemagne et 4 % au Canada.

« À la mi-2025, Tycoon2FA représentait environ 62 % de toutes les tentatives d'hameçonnage bloquées par Microsoft, dont plus de 30 millions d'e-mails en un seul mois. Cela a placé Tycoon2FA parmi les plus grandes opérations d'hameçonnage au niveau mondial », indique Steven Masada, conseiller juridique adjoint de la Microsoft Digital Crimes Unit. Selon lui, « malgré des défenses étendues, le service est lié à environ 96 000 victimes distinctes d'hameçonnage dans le monde depuis 2023, dont plus de 55 000 clients Microsoft ».  

Ce service se distinguait par son ampleur et son accessibilité, avec une boîte à outils prête à l'emploi fournissant aux acheteurs de fausses pages de connexion, des couches proxy et des outils de campagne de base. Des mises à jour plus récentes ajoutaient des fonctionnalités d'évasion afin d'entraver l'analyse et la réponse. Au moment de sa fermeture cette semaine, il comptait environ 2 000 abonnés actifs, chacun payant environ 120 dollars pour une licence de 10 jours.

« Il ne s'agissait pas d'une simple campagne de phishing. Il s'agissait d'un service industrialisé conçu pour permettre à des milliers de criminels de contourner l'authentification à facteurs multiples », relève Robert McArdle, directeur de la recherche sur la cybercriminalité chez TrendAI.

Lui et ses collègues ont mené des recherches approfondies et suivi de près l'infrastructure et le comportement des opérateurs de Tycoon2FA pendant un certain temps. Une avancée décisive dans leurs travaux a eu lieu en novembre 2025, lorsqu'ils ont réussi à identifier le développeur probable et l'opérateur principal du service, un individu utilisant les pseudonymes SaaadFridi ou Mr_Xaad. Cet individu aurait été activement impliqué dans des cybercrimes mineurs de type hacktiviste, tels que la défiguration de sites web, avant de se lancer dans le développement de kits de phishing.

« Nous avions cartographié les opérateurs derrière Tycoon2FA et leur infrastructure pendant des mois avant de les perturber. Ce qui ressortait, c'était l'ampleur et la cohérence des schémas. Les domaines, les choix d'hébergement, les mises à jour des kits et les canaux de support clandestins indiquaient tous un service commercial coordonné plutôt que des campagnes fragmentées », explique Robert McArdle.

À partir de ces éléments, et « une fois que nous avons eu une attribution fiable et une bonne compréhension de l'ampleur du problème, nous avons partagé des renseignements détaillés avec Europol afin de permettre une action rapide. Ce type de renseignements opérationnels est ce qui transforme la visibilité en impact », relève-t-il.

Et de souligner que « signaler cela à Europol n'était pas un simple échange d'informations de routine. C'est le résultat d'un suivi continu, d'une validation technique et d'une corrélation minutieuse entre plusieurs points de données. [...] C'est précisément là que la recherche sur les menaces dans le secteur privé et la collaboration avec les forces de l'ordre doivent se croiser si nous voulons sérieusement réduire le risque de cybercriminalité, et Europol est depuis longtemps un partenaire privilégié dans ce domaine ».

Un parmi tant d'autres

Tycoon2FA n'était qu'une des nombreuses plateformes de phishing en mode service (PhaaS) à la disposition des cybercriminels. Parmi les autres exemples notables, on peut citer BlackForce, GhostFrame et InboxPrimeAI. Cette dernière utilise l'intelligence artificielle générative (GenAI) pour imiter le comportement humain dans ses campagnes et est présentée comme une « solution programmatique » pour le hameçonnage.

Ces plateformes sont parfois considérées à tort comme secondaires par rapport aux ransomwares en termes de menace qu'elles représentent, mais dans la réalité, elles sont souvent utilisées par des cybercriminels pour obtenir un accès initial. Lequel pourra être monétisé par un courtier en accès initial (IAB) avant d'être exploité pour conduire une cyberattaque avec rançongiciel, notamment.

Tycoon2FA représentait une menace particulièrement grave, car il réduisait considérablement les obstacles techniques à l'entrée et élargissait le nombre d'attaquants capables de lancer des attaques plus sophistiquées. Et même si sa disparition constituera un revers important pour l'écosystème PhaaS, la menace sous-jacente reste aussi réelle que jamais.

Pour approfondir sur Menaces, Ransomwares, DDoS