Tycoon 2FA, một trong những bộ công cụ phishing-as-a-service (PhaaS) nổi bật cho phép tội phạm mạng thực hiện các cuộc tấn công thu thập thông tin xác thực adversary-in-the-middle (AitM) quy mô lớn, đã bị một liên minh các cơ quan thực thi pháp luật và công ty an ninh triệt phá.
Bộ công cụ phishing dựa trên đăng ký này, xuất hiện lần đầu vào tháng 8 năm 2023, được Europol mô tả là một trong những hoạt động phishing lớn nhất trên toàn thế giới. Bộ công cụ này có sẵn với giá khởi điểm 120 USD cho 10 ngày hoặc 350 USD để truy cập bảng điều khiển quản trị web trong một tháng.
Bảng điều khiển này đóng vai trò là trung tâm để cấu hình, theo dõi và tinh chỉnh các chiến dịch. Nó có các mẫu dựng sẵn, tệp đính kèm cho các định dạng mồi nhử phổ biến, cấu hình miền và hosting, logic chuyển hướng và theo dõi nạn nhân. Các nhà điều hành cũng có thể cấu hình cách nội dung độc hại được phân phối qua tệp đính kèm, cũng như theo dõi các lần đăng nhập hợp lệ và không hợp lệ.
Thông tin bị đánh cắp, chẳng hạn như credentials, mã multi-factor authentication (MFA) và session cookies, có thể được tải trực tiếp trong bảng điều khiển hoặc chuyển tiếp đến Telegram để theo dõi gần như thời gian thực.
"Nó đã cho phép hàng nghìn tội phạm mạng bí mật truy cập các tài khoản email và dịch vụ dựa trên đám mây," Europol cho biết. "Ở quy mô lớn, nền tảng này đã tạo ra hàng chục triệu email phishing mỗi tháng và tạo điều kiện truy cập trái phép vào gần 100.000 tổ chức trên toàn cầu, bao gồm trường học, bệnh viện và các tổ chức công."
Là một phần của nỗ lực phối hợp, 330 domains tạo thành xương sống của dịch vụ tội phạm, bao gồm các trang phishing và bảng điều khiển, đã bị gỡ bỏ.
Intel 471 mô tả Tycoon 2FA là "nguy hiểm", cho biết bộ công cụ này có liên quan đến hơn 64.000 sự cố phishing và hàng chục nghìn domains, tạo ra hàng chục triệu email phishing mỗi tháng. Theo Microsoft, công ty đang theo dõi các nhà điều hành dịch vụ này dưới tên Storm-1747, Tycoon 2FA đã trở thành nền tảng hoạt động mạnh nhất mà công ty quan sát được vào năm 2025, chặn hơn 13 triệu email độc hại liên quan đến dịch vụ crimeware này.
Dữ liệu từ Proofpoint cho thấy Tycoon 2FA chiếm khối lượng lớn nhất các mối đe dọa AiTM phishing. Công ty bảo mật email này cho biết họ đã quan sát hơn ba triệu tin nhắn liên quan đến bộ công cụ phishing này chỉ riêng trong tháng 2 năm 2026. Trend Micro, một trong những đối tác khu vực tư nhân trong chiến dịch, lưu ý rằng nền tảng PhaaS này có khoảng 2.000 người dùng.
Các chiến dịch tận dụng Tycoon 2FA đã nhắm mục tiêu bừa bãi vào hầu hết các lĩnh vực, bao gồm giáo dục, y tế, tài chính, phi lợi nhuận và chính phủ. Các email phishing được gửi từ bộ công cụ này đã tiếp cận hơn 500.000 tổ chức mỗi tháng trên toàn thế giới.
"Nền tảng của Tycoon 2FA đã cho phép các threat actors mạo danh các thương hiệu đáng tin cậy bằng cách bắt chước các trang đăng nhập cho các dịch vụ như Microsoft 365, OneDrive, Outlook, SharePoint và Gmail," Microsoft cho biết.
"Nó cũng cho phép các threat actors sử dụng dịch vụ này để thiết lập persistence và truy cập thông tin nhạy cảm ngay cả sau khi mật khẩu được đặt lại, trừ khi các active sessions và tokens bị thu hồi rõ ràng. Điều này hoạt động bằng cách chặn các session cookies được tạo ra trong quá trình xác thực, đồng thời thu thập user credentials. Các mã MFA sau đó được chuyển tiếp qua các proxy servers của Tycoon 2FA đến dịch vụ xác thực."
Bộ công cụ này cũng sử dụng các kỹ thuật như keystroke monitoring, anti-bot screening, browser fingerprinting, heavy code obfuscation, self-hosted CAPTCHAs, custom JavaScript và dynamic decoy pages để né tránh các nỗ lực phát hiện. Một khía cạnh quan trọng khác là việc sử dụng nhiều top-level domains (TLDs) và fully qualified domain names (FQDNs) có thời gian tồn tại ngắn để lưu trữ cơ sở hạ tầng phishing trên Cloudflare.
Các FQDN này thường chỉ tồn tại từ 24 đến 72 giờ, với tốc độ thay đổi nhanh chóng là một nỗ lực có chủ ý để làm phức tạp việc phát hiện và ngăn chặn việc xây dựng các blocklists đáng tin cậy. Microsoft cũng cho rằng thành công của Tycoon 2FA là nhờ việc bắt chước chặt chẽ các quy trình xác thực hợp pháp để bí mật chặn user credentials và session tokens.
Để làm cho vấn đề tồi tệ hơn, khách hàng của Tycoon 2FA đã tận dụng một kỹ thuật gọi là ATO Jumping, trong đó một tài khoản email bị chiếm đoạt được sử dụng để phân phối các URL của Tycoon 2FA và cố gắng thực hiện các hoạt động chiếm đoạt tài khoản tiếp theo. "Sử dụng kỹ thuật này cho phép các email trông như thể chúng thực sự đến từ một liên hệ đáng tin cậy của nạn nhân, làm tăng khả năng bị xâm nhập thành công," Proofpoint lưu ý.
Các phishing kits như Tycoon được thiết kế linh hoạt để những đối tượng ít am hiểu kỹ thuật hơn cũng có thể tiếp cận, đồng thời vẫn cung cấp các khả năng nâng cao cho các nhà điều hành có kinh nghiệm hơn.
"Trong năm 2025, 99% các tổ chức đã trải qua các nỗ lực chiếm đoạt tài khoản và 67% đã trải qua việc chiếm đoạt tài khoản thành công," Selena Larson, nhà nghiên cứu mối đe dọa tại Proofpoint, cho biết trong một tuyên bố được chia sẻ với The Hacker News. "Trong số này, 59% các tài khoản bị chiếm đoạt đã bật MFA. Mặc dù không phải tất cả các cuộc tấn công này đều liên quan đến Tycoon MFA, nhưng điều này cho thấy tác động của AiTM phishing đối với các doanh nghiệp."
"Những cuộc tấn công mạng cho phép chiếm đoạt tài khoản hoàn toàn này có thể dẫn đến những tác động thảm khốc, bao gồm ransomware hoặc mất dữ liệu nhạy cảm. Khi các threat actors tiếp tục ưu tiên identity, việc giành quyền truy cập vào các tài khoản email doanh nghiệp thường là bước đầu tiên trong một chuỗi tấn công có thể gây ra hậu quả tàn khốc."
