magnate 2FAuno de los destacados kits de herramientas de phishing como servicio (PhaaS) que permitía a los ciberdelincuentes realizar ataques de monasterio de credenciales de adversario en el medio (AitM) a escalera, fue desmantelado por una coalición de agencias de aplicación de la ley y empresas de seguridad.
Europol describió el kit de phishing basado en suscripción, que surgió por primera vez en agosto de 2023, como una de las operaciones de phishing más grandes del mundo. El kit se vendió a través de Telegram y Signal por un precio original de 120 dólares por 10 días o 350 dólares por el ataque a un panel de establecimiento basado en la web durante un mes. Se supone que el desarrollador principal de Tycoon 2FA es Saad Fridi, quien se dice que tiene su sede en Pakistán.
El panel sirve como centro para configurar, rastrear y perfeccionar campañas. Cuenta con plantillas prediseñadas, archivos adjuntos para formatos de señuelos comunes, configuración de dominio y alojamiento, método de redireccionamiento y seguimiento de víctimas. Los operadores todavía pueden configurar cómo se entrega el contenido malvado a través de archivos adjuntos, así como controlar los intentos de inicio de sesión válidos e inválidos.
La información capturada, como credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, se puede descargar directamente internamente del panel o reenviar a Telegram para un monitoreo casi en tiempo existente.
“Permitió a miles de ciberdelincuentes aceptar de forma ajuste al correo electrónico y a cuentas de servicios basados en la nimbo”, dijo Europol. “A escalera, la plataforma generó decenas de millones de correos electrónicos de phishing cada mes y facilitó el ataque no competente a casi 100.000 organizaciones en todo el mundo, incluidas escuelas, hospitales e instituciones públicas”.
Como parte del esfuerzo coordinado, se eliminaron 330 dominios que formaban la columna vertebral del servicio criminal, incluidas páginas de phishing y paneles de control.
Al caracterizar a Tycoon 2FA como “peligroso”, Intel 471 dijo que el kit estaba vinculado a más de 64.000 incidentes de phishing y decenas de miles de dominios, generando decenas de millones de correos electrónicos de phishing cada mes. Según Microsoft, que rastrea a los operadores del servicio bajo el nombre Storm-1747, Tycoon 2FA se convirtió en la plataforma más prolífica observada por la compañía en 2025, lo que la llevó a cercar más de 13 millones de correos electrónicos maliciosos vinculados al servicio de crimeware en octubre de 2025.
En total, Tycoon 2FA representó aproximadamente el 62 % de todos los intentos de phishing bloqueados por Microsoft a mediados de 2025, incluidos más de 30 millones de correos electrónicos en un solo mes. Se estima que el servicio ha estado vinculado a unas 96.000 víctimas distintas de phishing en todo el mundo desde 2023, incluidos más de 55.000 clientes de Microsoft, añadió el hércules tecnológico.
 |
| Cronología de la proceso de Tycoon 2FA (Fuente: Point Wild) |
El disección geográfico de los datos de registro de víctimas realizado por SpyCloud indica que EE. UU. tuvo la viejo concentración de víctimas identificadas (179.264), seguido por el Reino Unido (16.901), Canadá (15.272), India (7.832) y Francia (6.823).
“La abrumadora mayoría de las cuentas objetivo estaban administradas por empresas o asociadas de otro modo con dominios pagos, lo que refuerza la conclusión de que Tycoon 2FA está dirigido principalmente a entornos empresariales en área de cuentas de consumidores individuales”, dijo la compañía de ciberseguridad.
Los datos de Proofpoint muestran que Tycoon 2FA representó el viejo cuerpo de amenazas de phishing AiTM. La empresa de seguridad del correo electrónico dijo que observó más de tres millones de mensajes asociados con el kit de phishing sólo en febrero de 2026. Trend Micro, que fue uno de los socios del sector privado en la operación, señaló que la plataforma PhaaS tenía aproximadamente 2.000 usuarios.
Las campañas que aprovechan Tycoon 2FA se han dirigido indiscriminadamente a casi todos los sectores, incluidos la educación, la atención médica, las finanzas, las organizaciones sin fines de rendimiento y el gobierno. Los correos electrónicos de phishing enviados desde el kit llegaron a más de 500.000 organizaciones cada mes en todo el mundo.
“La plataforma de Tycoon 2FA permitió a los actores de amenazas hacerse suceder por marcas confiables imitando páginas de inicio de sesión para servicios como Microsoft 365, OneDrive, Outlook, SharePoint y Gmail”, dijo Microsoft.
“Igualmente permitió a los actores de amenazas que usaban su servicio establecer persistencia y aceptar a información confidencial incluso a posteriori de restablecer las contraseñas, a menos que las sesiones activas y los tokens fueran revocados explícitamente. Esto funcionó interceptando las cookies de sesión generadas durante el proceso de autenticación, capturando simultáneamente las credenciales del beneficiario. Los códigos MFA se transmitieron luego a través de los servidores proxy de Tycoon 2FA al servicio de autenticación”.
El kit todavía empleó técnicas como monitoreo de pulsaciones de teclas, detección anti-bot, toma de huellas digitales del navegador, ofuscación de código pesado, CAPTCHA autohospedados, JavaScript personalizado y páginas señuelo dinámicas para eludir los esfuerzos de detección. Otro aspecto esencia es el uso de una combinación más amplia de dominios de nivel superior (TLD) y nombres de dominio completos (FQDN) de corta duración para meter la infraestructura de phishing en Cloudflare.
Los FQDN a menudo solo duran entre 24 y 72 horas, y su rápida rotación es un esfuerzo deliberado para complicar la detección e impedir la creación de listas de interrupción confiables. Microsoft todavía atribuyó el éxito de Tycoon 2FA a imitar fielmente los procesos de autenticación legítimos para interceptar sigilosamente las credenciales de beneficiario y los tokens de sesión.
Para empeorar las cosas, los clientes de Tycoon 2FA aprovecharon una técnica emplazamiento ATO Jumping, mediante la cual se utiliza una cuenta de correo electrónico comprometida para distribuir las URL de Tycoon 2FA e intentar realizar más actividades de apropiación de cuentas. “El uso de esta técnica permite que los correos electrónicos parezcan provenir auténticamente del contacto de confianza de la víctima, lo que aumenta la probabilidad de un compromiso exitoso”, señaló Proofpoint.
Los kits de phishing como Tycoon están diseñados para ser flexibles, de modo que sean accesibles para actores con menos conocimientos técnicos y, al mismo tiempo, ofrecen capacidades avanzadas para operadores más experimentados.
“En 2025, el 99% de las organizaciones experimentaron intentos de apropiación de cuentas y el 67% experimentó una apropiación de cuentas exitosa”, dijo Selena Larson, investigadora de amenazas del personal de Proofpoint, en un comunicado compartido con The Hacker News. “De estas, el 59% de las cuentas tomadas tenían preparado MFA. Si proporcionadamente no todos estos ataques estaban relacionados con Tycoon MFA, esto muestra el impacto del phishing AiTM en las empresas”.
“Estos ciberataques que permiten la apropiación total de cuentas pueden provocar impactos desastrosos, incluido el ransomware o la pérdida de datos confidenciales. A medida que los actores de amenazas continúan priorizando la identidad, obtener ataque a cuentas de correo electrónico empresariales suele ser el primer paso en una esclavitud de ataques que puede tener consecuencias destructivas”.
