Фишинговая платформа Tycoon2FA, о ликвидации инфраструктуры которой в начале марта сообщал Европол, уже восстановилась и практически вернулась к прежним объемам активности.
Как мы рассказывали ранее в этом месяце, в ходе операции, которую координировал Европол, правоохранители при техническом содействии Microsoft изъяли 330 доменов Tycoon2FA — панели управления, фишинговые страницы и другие элементы инфраструктуры платформы. Изъятием инфраструктуры занимались правоохранительные органы Латвии, Литвы, Португалии, Польши, Испании и Великобритании.
В итоге правоохранители заявляли о ликвидации Tycoon2FA, однако, судя по свежему отчету компании CrowdStrike, эффект от проведенной операции оказался недолговечным.
По данным аналитиков, объемы фишинговых операций Tycoon2FA 4 и 5 марта снизились примерно до 25% от обычного уровня, однако через несколько дней вернулись к показателям начала 2026 года.
Напомним, что Tycoon2FA работает по модели «фишинг как услуга» (PhaaS) и в основном нацелена на учетные записи Microsoft 365 и Gmail. Платформа использует механизм adversary-in-the-middle (AitM), который позволяет перехватывать сессионные файлы cookie и обходить многофакторную аутентификацию. По данным Microsoft, на пике Tycoon2FA генерировала порядка 30 млн фишинговых писем в месяц и отвечала за 62% всех фишинговых сообщений, заблокированных компанией.
Как теперь отмечают в CrowdStrike, после возвращения платформа практически не изменила свои методы. Tycoon2FA по-прежнему используется для компрометации облачных учетных записей, BEC-атак (business email compromise), перехвата цепочек переписок и распространения вредоносных ссылок через SharePoint.
В новых кампаниях операторы платформы рассылают вредоносные URL и используют сервисы для сокращения ссылок, злоупотребляют легитимными платформами (например, инструментами для презентаций) и эксплуатируют скомпрометированные домены. Также исследователи заметили, что для создания фальшивых веб-страниц, на которые попадают жертвы, используется ИИ-генерация.
Как оказалось, операция правоохранителей вообще не затронула часть старой инфраструктуры Tycoon2FA, и эти ресурсы оставались активными все время. Параллельно операторы платформы быстро зарегистрировали новые фишинговые домены и IP-адреса.
В CrowdStrike заключают: без арестов и физического изъятия серверов злоумышленники легко восстанавливают инфраструктуру. Пока спрос на фишинговые услуги остается высоким, у операторов PhaaS-платформ нет причин прекращать свою деятельность.
