Les autorités pensaient avoir mis un terme aux activités de l’une des plateformes de phishing les plus dangereuses du moment, Tycoon2FA. En quelques jours, la plateforme, spécialisée dans le contournement de la double authentification, est revenue sur le devant de la scène… et elle tourne à plein régime.
Il y a quelques semaines, une opération policière d’envergure, commanditée par Europol avec l’appui de Microsoft, s’est soldée par la fermeture de Tycoon2FA, une redoutable plateforme de phishing. La plateforme s’est spécialisée dans la location de kits capables de contourner la double authentification sur les comptes Microsoft 365, OneDrive, Outlook, SharePoint et Gmail. En interposant un proxy entre l’utilisateur et le service, l’outil volait les identifiants et cookies de session, permettant aux pirates de prendre le contrôle d’un compte sans devoir intercepter le code d’authentification multifactorielle. L’offensive a mené au démantèlement de l’infrastructure de Tycoon2FA et à la saisie de ses 330 domaines.
Le répit n’aura été que de courte durée. Moins d’un mois après sa fermeture forcée, Tycoon2FA fait son retour sur le devant de la scène. Après avoir constaté une chute brutale de l’activité du kit dans le sillage de l’opération du 4 mars, les chercheurs de CrowdStrike ont vite enregistré une reprise d’activité. Le service a très vite repris sa cadence de croisière, seulement quelques jours après, indiquant que la plateforme est loin d’être morte et enterrée.
À lire aussi : Cyberattaque russe contre WhatsApp et Signal – une « vaste campagne mondiale » est en cours
Un retour en force pour Tycoon2FA
Le volume d’attaques reposant sur des outils mis à disposition par Tycoon2FA est même revenu au niveau du début 2026, avant l’action coordonnée par Microsoft et Europol. Pour relancer leurs activités, les cybercriminels ont réutilisé une partie de l’ancienne infrastructure, qui n’avait pas été totalement coupée par les autorités, et l’ont complétée en enregistrant rapidement de nouveaux noms de domaine et de nouvelles adresses IP.
Les attaques actuelles reposent sur les mêmes tactiques criminelles qu’auparavant. Selon les investigations de CrowdStrike, les pirates utilisent des liens piégés sous forme d’URL raccourcies, des sites web piratés au préalable, des outils de présentation en ligne et des pages d’arnaque générées par l’IA, pour arriver à leurs fins. Les tactiques sont « restées inchangées après le démantèlement »
Comme toujours, les hackers cherchent à prendre le contrôle de boîtes mail professionnelles pour lancer des arnaques financières et à pirater des comptes cloud d’entreprise. Une fois que les comptes de messagerie sous entre leurs mains, ils peuvent mettre au point des escroqueries plus sophistiquées, et dévastatrices. Ils peuvent par exemple se faire passer pour un collègue ou un responsable et réclamer un versement sur un compte bancaire.
CrowdStrike estime qu’en l’absence d’arrestations ou de saisies des serveurs, les opérateurs peuvent reconstruire rapidement leur infrastructure. C’est pourquoi il n’a fallu que quelques jours pour que les perturbations provoquées par Microsoft et les forces de l’ordre soient de l’histoire ancienne. Les pirates à l’origine de Tycoon2FA font preuve « d’une grande adaptabilité, de compétences techniques pointues et d’une persévérance à toute épreuve », et de nombreux pirates continuent de se reposer sur les outils de la plateforme. La prudence est donc de mise.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
CrowdStrike