Operação internacional desmantela Tycoon 2FA, um dos maiores serviços de phishing do mundo, ligado a mais de 64 mil ataques
Uma ação coordenada por autoridades de vários países, sob liderança da Europol e com apoio direto de empresas de cibersegurança, desarticulou a infraestrutura do Tycoon 2FA, um dos mais ativos e sofisticados serviços de phishing‑as‑a‑service (PhaaS) em operação recente. A plataforma era usada por grupos criminosos para ataques do tipo adversary‑in‑the‑middle (AiTM), voltados ao roubo em massa de credenciais, códigos de autenticação multifator (MFA) e cookies de sessão, abrindo caminho para invasões furtivas a contas corporativas e serviços em nuvem.
Identificado pela primeira vez em agosto de 2023, o Tycoon 2FA funcionava em modelo de assinatura, como um “pacote pronto” de cibercrime. O acesso ao kit era comercializado principalmente por meio de canais fechados em aplicativos de mensagens criptografadas, com valores a partir de US$ 120 por 10 dias de uso, chegando a cerca de US$ 350 para um mês de acesso completo ao painel web. Investigações apontam que o principal desenvolvedor do serviço seria Saad Fridi, supostamente atuando a partir do Paquistão.
O atrativo do Tycoon 2FA era justamente a facilidade de uso: até criminosos com pouca experiência técnica conseguiam conduzir campanhas complexas. O painel de administração oferecia uma interface completa para configurar ataques, acompanhar vítimas em tempo real e gerenciar toda a infraestrutura maliciosa. Entre os recursos disponibilizados aos assinantes estavam:
– modelos prontos de páginas de login falsas, copiando a aparência de serviços amplamente usados;
– anexos maliciosos para uso em campanhas de e‑mail;
– gerenciamento integrado de domínios e hospedagem para as páginas de phishing;
– mecanismos de redirecionamento sofisticados, projetados para confundir tanto usuários quanto ferramentas de detecção;
– monitoramento em tempo real de tentativas de login bem‑sucedidas e fracassadas.
As credenciais capturadas – combinando usuário, senha, códigos MFA e cookies de sessão – podiam ser baixadas diretamente do painel ou encaminhadas automaticamente para canais privados em aplicativos de mensagem, permitindo que os operadores acompanhassem o desempenho das campanhas quase em tempo real e reagissem rapidamente quando uma vítima fornecia dados válidos.
Conforme dados divulgados pela Europol, a plataforma possibilitou que milhares de criminosos acessassem clandestinamente contas de e‑mail corporativo e serviços em nuvem, resultando no envio de dezenas de milhões de e‑mails de phishing por mês. A estimativa é que o Tycoon 2FA tenha facilitado acessos não autorizados a cerca de 100 mil organizações em escala global, incluindo escolas, hospitais, órgãos governamentais e outras instituições públicas.
Durante a operação de derrubada, foram desativados 330 domínios associados diretamente ao ecossistema do Tycoon 2FA. Essa infraestrutura incluía tanto as páginas falsas usadas para capturar credenciais quanto os próprios painéis de controle administrados pelos criminosos. Em paralelo, empresas de segurança reforçaram bloqueios automatizados e atualizações de filtros para impedir a migração rápida das campanhas para novos domínios.
Relatórios da empresa de inteligência Intel 471 indicam que o Tycoon 2FA esteve conectado a mais de 64 mil incidentes de phishing confirmados, além de ter servido como base para a criação de dezenas de milhares de domínios maliciosos. Esse volume coloca a plataforma entre as mais ativas já observadas no cenário de PhaaS.
A Microsoft, que monitora o grupo por trás da operação sob o codinome Storm‑1747, classificou o Tycoon 2FA como a plataforma de phishing mais prolífica observada pela companhia em 2025. Apenas em outubro daquele ano, mais de 13 milhões de e‑mails maliciosos associados ao serviço foram bloqueados pelos sistemas de proteção da empresa.
No auge da atividade, em meados de 2025, o Tycoon 2FA chegou a responder por 62% de todas as tentativas de phishing detectadas e bloqueadas pela Microsoft em seus serviços, somando mais de 30 milhões de e‑mails maliciosos em um único mês. Desde 2023, estima‑se que aproximadamente 96 mil vítimas tenham sido afetadas diretamente pelas campanhas associadas à plataforma, sendo mais de 55 mil delas usuárias de serviços da Microsoft.
Uma análise conduzida pela SpyCloud sobre contas comprometidas revelou que os Estados Unidos concentraram o maior número de vítimas conhecidas, com 179.264 credenciais expostas. Em seguida aparecem:
– Reino Unido, com 16.901 contas;
– Canadá, com 15.272;
– Índia, com 7.832;
– França, com 6.823.
Os dados mostram ainda que a maioria das contas alvo estava ligada a ambientes corporativos, o que reforça a conclusão de que o Tycoon 2FA era usado principalmente para atacar empresas e instituições, e não usuários domésticos isolados. Isso se alinha à estratégia de grupos que buscam ganhos maiores, seja por meio de extorsão, espionagem corporativa ou movimentação lateral em redes internas.
Em paralelo, a Proofpoint identificou mais de 3 milhões de mensagens maliciosas associadas ao Tycoon 2FA somente em fevereiro de 2026. Já estimativas da Trend Micro indicam que o serviço mantinha cerca de 2 mil usuários ativos, número suficiente para lançar campanhas praticamente contínuas contra praticamente todos os setores econômicos.
Entre os segmentos mais visados apareciam educação, saúde, setor financeiro, organizações sem fins lucrativos e administração pública. Em média, os e‑mails gerados pelo kit atingiam mais de 500 mil organizações a cada mês, expondo funcionários de diferentes níveis hierárquicos a mensagens falsas que imitavam comunicados internos, alertas de segurança ou notificações de serviços em nuvem.
Um dos aspectos centrais da eficácia do Tycoon 2FA foi a capacidade de criar páginas fraudulentas extremamente semelhantes às de serviços amplamente utilizados, como:
– Microsoft 365
– OneDrive
– Outlook
– SharePoint
– Gmail
Esses clones de páginas de login eram combinados com ataques do tipo adversary‑in‑the‑middle. Durante o processo de autenticação, o usuário era direcionado, sem perceber, a um servidor intermediário controlado pelos criminosos. Esse servidor interceptava o fluxo de dados e capturava, em tempo real, o nome de usuário, a senha inserida, o código de autenticação multifator e os cookies de sessão gerados após o login.
A técnica permitia que os invasores assumissem a sessão da vítima imediatamente, muitas vezes sem disparar alertas de segurança. Mesmo que a pessoa percebesse algo estranho e alterasse a senha em seguida, o acesso indevido poderia continuar válido se os tokens de sessão e as sessões ativas não fossem revogados pelos administradores de TI ou pelo próprio sistema de segurança da aplicação.
Para tornar a identificação das campanhas ainda mais difícil, o Tycoon 2FA fazia uso de diversas estratégias de evasão. A plataforma utilizava rotação constante de domínios, distribuição de infraestrutura em diferentes provedores, redirecionamentos condicionais (mostrando conteúdo legítimo para determinados perfis e malicioso para outros) e customização dinâmica das páginas de phishing, o que dificultava o trabalho de ferramentas que dependem de assinaturas estáticas ou listas de bloqueio.
Outro diferencial apontado por especialistas foi o uso de uma técnica conhecida como “ATO Jumping” (account takeover jumping). Depois de comprometer uma conta, os operadores exploravam o acesso conquistado para alcançar outras contas ou serviços, aproveitando integrações internas, contatos confiáveis e fluxos de aprovação já estabelecidos. Por exemplo, após invadir o e‑mail de um colaborador, os criminosos podiam enviar mensagens internas com aparência legítima, aumentando drasticamente a taxa de sucesso de novas tentativas de phishing dentro da própria organização.
Esse efeito cascata faz com que um único comprometimento de conta possa se transformar em um incidente de larga escala, envolvendo diferentes departamentos, parceiros de negócio e até fornecedores externos. Em alguns casos, a conta invadida era usada para cadastrar novos aplicativos, criar regras de encaminhamento ocultas ou aprovar autenticações suspeitas, consolidando a permanência do invasor no ambiente.
O modelo de negócio “phishing‑as‑a‑service” adotado pelo Tycoon 2FA também merece atenção. Em vez de desenvolver sua própria infraestrutura, muitos grupos passaram a simplesmente “alugar” o serviço, reduzindo a barreira de entrada para o crime digital. O desenvolvedor do kit cuidava de atualizações, hospedagem, templates e mecanismos de evasão, enquanto os clientes focavam na escolha de alvos e na execução das campanhas. Esse formato de “crime terceirizado” acelera a profissionalização dos ataques e torna o ecossistema mais resiliente.
Mesmo com a derrubada do Tycoon 2FA, especialistas alertam que esse tipo de serviço tende a reaparecer sob outras marcas ou variações. A experiência mostra que cada desmantelamento bem-sucedido leva criminosos a aprimorar a forma como distribuem a infraestrutura, tornando os próximos kits ainda mais difíceis de rastrear. Por isso, a operação é vista como uma vitória importante, mas não como o fim do problema.
Para empresas e instituições, o caso do Tycoon 2FA reforça a necessidade de encarar o phishing como uma ameaça estratégica, e não apenas como “e-mails suspeitos” no cotidiano. Mesmo com o uso de MFA, ataques AiTM conseguem burlar proteções tradicionais se não houver camadas adicionais de segurança, como:
– monitoramento de comportamento anômalo de login;
– políticas rigorosas de revogação de sessões ativas após incidentes;
– uso de autenticação baseada em dispositivos confiáveis ou chaves de segurança;
– segmentação de acesso e princípio do menor privilégio.
Treinamentos frequentes de conscientização também continuam fundamentais. Funcionários precisam reconhecer sinais mais sutis de fraude, como pequenas discrepâncias em URLs, solicitações urgentes para “verificar a conta” ou mensagens que exploram temas sensíveis, como folha de pagamento, atualizações de benefícios, faturas e notificações de serviços amplamente usados. No contexto de kits como o Tycoon 2FA, em que as páginas falsas são quase perfeitas, a atenção aos detalhes e o hábito de checar o endereço do site antes de inserir credenciais podem representar a diferença entre um incidente isolado e uma grande violação.
Equipes de segurança também são estimuladas a adotar políticas de resposta rápida a qualquer suspeita de comprometimento de conta. Isso inclui não apenas redefinir senhas, mas revisar sessões ativas, tokens de acesso, regras de encaminhamento de e-mail, aplicativos conectados e atividades incomuns recentes. Em ataques com roubo de cookies de sessão, ignorar esses elementos pode permitir que o invasor mantenha o acesso silenciosamente, mesmo após uma troca de senha.
Por fim, o desmantelamento do Tycoon 2FA mostra o impacto positivo da cooperação entre órgãos policiais e o setor privado. Sem o compartilhamento contínuo de inteligência, dados de telemetria, indicadores de comprometimento e padrões de campanha, seria praticamente impossível mapear toda a cadeia de domínios, infraestrutura em nuvem e contas usadas pelo serviço. A tendência é que operações futuras sigam o mesmo modelo colaborativo, visando não só derrubar infraestruturas criminosas, mas também tornar economicamente menos atraente o negócio de fornecer phishing como serviço.