Non è bastato oscurare 330 server per fermare una delle macchine da frode informatica più pericolose al mondo. A meno di un mese dal massiccio intervento di Europol e delle polizie di sei Paesi, la temibile piattaforma Tycoon2FA è tornata pienamente operativa, vanificando di fatto il sequestro delle sue infrastrutture. Come confermato dagli esperti di sicurezza, il gruppo criminale ha ripreso a inondare il web con milioni di finte email progettate per rubare le password aziendali (Microsoft 365 e Google) e aggirare l’autenticazione a due fattori (MFA). Una ripresa lampo che dimostra come i network del “Phishing-as-a-Service” siano ormai troppo strutturati per crollare dopo un singolo colpo di polizia. La piattaforma Tycoon2FA conferma la resilienza del modello Phishing-as-a-Service tornando rapidamente operativa dopo il takedown coordinato da Europol il 4 marzo 2026. Nonostante il sequestro di 330 domini e il coinvolgimento di sei Paesi europei, il servizio ha ripreso le campagne con gli stessi TTP adversary-in-the-middle, continuando a colpire account Microsoft 365 e Google Workspace. I dati osservati da CrowdStrike mostrano un calo netto dell’attività subito dopo la disruption, seguito però da un ritorno rapido ai livelli precedenti. Il caso dimostra come le azioni tecniche sui domini siano efficaci nel breve periodo, ma non sufficienti da sole a neutralizzare piattaforme PhaaS mature, capaci di migrare infrastrutture e riattivare le operazioni in pochi giorni.
Cosa leggere
Europol sequestra 330 domini ma Tycoon2FA sopravvive
L’operazione guidata da Europol, con il supporto delle autorità di Lettonia, Lituania, Portogallo, Polonia, Spagna e Regno Unito, ha colpito il cuore dell’infrastruttura di Tycoon2FA. Il sequestro di 330 domini rappresenta uno dei più grandi interventi recenti contro una piattaforma PhaaS specializzata nel bypass dell’autenticazione multifattore. Il servizio, attivo dal 2023, offre in abbonamento kit pronti all’uso che permettono anche a criminali con competenze limitate di orchestrare campagne di phishing altamente sofisticate. La disruption ha colpito la parte più visibile dell’ecosistema, ma non i meccanismi di provisioning dei nuovi domini, i redirect dinamici e le infrastrutture cloud già predisposte per il failover.
Tycoon2FA domina il phishing cloud contro Microsoft 365
La pericolosità della piattaforma emerge dai volumi osservati nel 2025, quando Tycoon2FA è arrivata a rappresentare circa il 62% dei tentativi di phishing bloccati su ambienti Microsoft. In un solo mese la piattaforma è stata collegata a oltre 30 milioni di email malevole, numeri che mostrano la capacità industriale del modello PhaaS. Il kit prende di mira soprattutto account Microsoft 365, Google e ambienti cloud enterprise, sfruttando la necessità crescente di accessi remoti e autenticazione via browser. La disponibilità come servizio abbassa drasticamente la barriera tecnica e consente a threat actor meno esperti di lanciare campagne con efficacia paragonabile a gruppi molto più strutturati.
Il bypass MFA usa tecniche adversary-in-the-middle
Il successo di Tycoon2FA dipende dal modello AITM (adversary-in-the-middle). Le vittime ricevono email con link a pagine CAPTCHA apparentemente legittime. Dopo l’interazione iniziale, il sistema reindirizza verso una pagina di login falsa che agisce da proxy trasparente verso il vero servizio cloud. Le credenziali inserite dall’utente e soprattutto i cookie di sessione autenticati vengono catturati in tempo reale, consentendo agli operatori di entrare nell’account senza dover aggirare direttamente il secondo fattore. Questo approccio rende meno efficace la sola MFA tradizionale basata su OTP o notifiche push, perché la sessione già validata viene semplicemente riutilizzata dagli attaccanti.
CrowdStrike osserva un calo del 75 per cento e poi la ripresa
Subito dopo il takedown, i team Falcon Complete Next-Gen MDR e Counter Adversary Operations hanno registrato una riduzione del volume di campagne fino al 25% dei livelli precedenti, equivalente a un calo del 75%. Tuttavia il dato più rilevante è la rapidità del recupero: nel giro di pochi giorni le compromissioni cloud sono tornate ai livelli osservati a inizio 2026. I TTP restano sostanzialmente invariati, segnale che il gruppo non ha dovuto riprogettare il framework ma ha semplicemente spostato l’operatività su nuovi domini e infrastrutture non toccate dal sequestro iniziale. È la prova più evidente della maturità raggiunta dalle moderne piattaforme PhaaS.
Nuovi domini, SharePoint compromessi e URL shortener
Dopo la disruption, gli operatori hanno ripreso a utilizzare URL shortener, domini compromessi e pagine ospitate su servizi cloud abusati. Alcune campagne sfruttano SharePoint compromessi per distribuire file XLSX e PDF con link di redirect, aumentando la fiducia percepita dalla vittima. In altri casi vengono registrati domini che imitano aziende del settore costruzioni, logistica o servizi professionali, settori spesso coinvolti in workflow basati su Microsoft 365. Alcuni test post-takedown hanno mostrato anche tentativi di usare Cloudflare r2.dev e workers.dev, confermando la volontà di sfruttare piattaforme cloud legittime per rendere più difficile il blocco.
AI generativa e geofencing rendono il phishing più credibile
Una delle evoluzioni più interessanti osservate su Tycoon2FA è l’uso di AI generativa per creare pagine decoy realistiche e adattive. Se la vittima non supera i controlli di geofencing o fingerprinting, il sistema può generare in tempo reale pagine credibili che simulano servizi reali, migliorando la probabilità di raccolta credenziali. Dopo il compromesso iniziale, gli operatori creano spesso regole inbox sospette, cartelle nascoste e filtri per intercettare email finanziarie, aprendo la strada a BEC e frodi su pagamenti. Questo passaggio mostra come il phishing sia solo il primo step di una kill chain molto più ampia orientata alla monetizzazione.
Le aziende devono difendersi oltre la sola MFA
Il caso Tycoon2FA dimostra che la sola MFA classica non è più sufficiente contro kit AITM maturi. Le organizzazioni devono puntare su conditional access, session binding, token protection, rilevamento comportamentale e analisi delle inbox rules. È cruciale monitorare accessi da IP anomali, in particolare infrastrutture già osservate in Romania, redirect sospetti e autenticazioni da browser mai visti prima. Anche la formazione utenti deve evolvere: non basta riconoscere la falsa login page, ma serve comprendere il rischio dei redirect via CAPTCHA, URL shortener e file SharePoint compromessi. La persistenza della piattaforma dopo il takedown Europol mostra che il phishing industrializzato rimarrà una minaccia centrale anche nei prossimi mesi.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
