Un’operazione internazionale, con supporto e coordinamento di Europol tramite l’European Cybercrime Centre (EC3), ha interrotto l’operatività di Tycoon 2FA, una delle piattaforme phishing-as-a-service più diffuse degli ultimi anni. Il servizio offriva “in abbonamento” strumenti pronti all’uso per creare pagine di phishing e pannelli di controllo, con una caratteristica chiave: la capacità di aggirare la multi-factor authentication (MFA) intercettando sessioni di autenticazione “dal vivo”. La parte tecnica dell’interruzione ha portato all’abbattimento di 330 domini legati all’infrastruttura del servizio (pagine di phishing e control panel). La disruption tecnica è stata guidata da Microsoft con un gruppo di partner; le attività di sequestro e ulteriori misure operative hanno coinvolto autorità in Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito. (Europol)
Perché Tycoon 2FA era così efficace
Tycoon 2FA appartiene alla famiglia delle campagne AiTM (adversary-in-the-middle): il kit inserisce un “passaggio” tra vittima e sito legittimo, così da catturare credenziali e token di sessione. In pratica, anche se l’utente inserisce il secondo fattore, l’attaccante può ottenere accesso perché “riusa” la sessione autenticata. Secondo le informazioni condivise pubblicamente, la piattaforma risultava attiva almeno da agosto 2023 e ha favorito compromissioni su larga scala di account email e servizi cloud. Europol indica un impatto potenziale fino a quasi 100.000 organizzazioni a livello globale, incluse scuole, ospedali e istituzioni pubbliche, con volumi nell’ordine di decine di milioni di email di phishing al mese. Un dato rende l’idea della scala: entro metà 2025 Tycoon 2FA avrebbe rappresentato circa il 62% dei tentativi di phishing bloccati dai sistemi Microsoft.
Il ruolo della collaborazione pubblico-privato
L’operazione nasce, secondo Europol, dopo la condivisione di intelligence da parte di Trend Micro. Attraverso il Cyber Intelligence Extension Programme (CIEP), tecnici e analisti di settore hanno lavorato a fianco di investigatori e analisti EC3, con l’obiettivo di tradurre indicatori e analisi infrastrutturali in azioni operative coordinate. Tra i partner privati citati risultano Cloudflare, Coinbase, Intel471, Proofpoint, Shadowserver Foundation e SpyCloud.
Cosa cambia per aziende e utenti
La rimozione di domini e pannelli di controllo riduce l’efficacia immediata della piattaforma e crea attrito operativo per chi la usava. Tuttavia, il modello phishing-as-a-service tende a rigenerarsi: nuovi domini, nuovi “brand” e variazioni dei kit. Per questo l’interruzione va letta come un colpo significativo all’infrastruttura, non come la fine del fenomeno.
Sul piano difensivo, questa vicenda rafforza un messaggio pratico: la MFA resta fondamentale, ma da sola non basta contro kit AiTM. Servono controlli che leghino l’accesso al contesto, come criteri di accesso condizionale, protezioni anti-phishing resistenti al furto di sessione (passkey/FIDO2 dove possibile) e monitoraggio di anomalie su login e token.
Contesto: EMPACT e le operazioni europee
Europol collega l’approccio a una logica più ampia di cooperazione europea contro le minacce della criminalità organizzata, dove EMPACT opera per cicli pluriennali e coordina priorità comuni e azioni tra Stati membri e partner.
