TrendAI™ helpt bij de ontmanteling van phishingdienst Tycoon 2FA

Amsterdam, 5 maart 2026 – TrendAI™, de enterprise AI-beveiligingsoplossing van Trend Micro Incorporated, heeft een sleutelrol gespeeld in de wereldwijde ontmanteling van Tycoon 2FA, een phishing-as-a-serviceplatform dat is ontworpen om multifactorauthenticatie te omzeilen en grootschalige accountinbreuken mogelijk te maken.

In samenwerking met Europol en een coalitie van branchepartners, waaronder Cloudflare, Coinbase, Crowell, eSentire, Health-SAC, Intel471, Microsoft, Proofpoint, Resecurity, Shadowserver en SpyCloud, leverde TrendAI dreigingsinformatie, infrastructuurmonitoring en identificatie van de daders. Deze informatie droeg direct bij aan de actie van handhavingsinstanties. 

Tycoon 2FA verscheen in augustus 2023 als een op abonnementengebaseerde phishingtoolkit, gebouwd rond adversary-in-the-middle-technieken. In plaats van simpelweg gebruikersnamen en wachtwoorden te verzamelen, onderschepte het platform live authenticatiesessies en legde het inloggegevens, eenmalige toegangscodes en actieve sessiecookies in real-time vast. Deze sessiecookies konden vervolgens opnieuw worden gebruikt om toegang te krijgen tot accounts, waardoor MFA-beveiliging omzeild kon worden.

Ten tijde van de ontmanteling had Tycoon 2FA ongeveer 2.000 gebruikers. Sinds de lancering zijn meer dan 24.000 domeinen gebruikt. De campagnes richtten zich voornamelijk op Microsoft 365 en andere clouddiensten.

Onderzoekers van TrendAI™hebben de infrastructuur, campagnes en het gedrag van de beheerders van het platform voor langere tijd gevolgd. In november 2025 hebben de onderzoekers de operatie kunnen koppelen aan een actor die de schuilnaam SaaadFridi en MrXaac gebruikte. Deze actor wordt beschouwd als de ontwikkelaar en belangrijkste beheerder van de dienst. Historische gegevens toonden aan dat de actor zich eerder bezighield met het beschadigen van websites. Gedetailleerde informatie over de gebruikte tools, infrastructuurpatronen en het operationele gedrag werden vervolgens gedeeld met Europol ter ondersteuning van de actie.

“Dit was geen op zichzelf staande phishingcampagne. Het was een geïndustrialiseerde dienst die is ontwikkeld om MFA-bypass toegankelijk te maken voor duizenden criminelen”, aldus Robert McArdle, directeur Cybercrime Research bij TrendAI™. “Identiteit is nu het belangrijkste aanvalsoppervlak. Wanneer inlogsessies kunnen worden verpakt en verkocht als abonnement, verschuift het risico van geïsoleerde incidenten naar systemische kwetsbaarheid.”

Phishing-as-a-service-platforms zoals Tycoon 2FA worden vaak gezien als een minder grote dreiging ten opzichte van ransomware. In de praktijk fungeren ze echter vaak als toegangspunt. Inloggegevens en actieve sessietokens die via adversay-in-the-middle-aanvallen worden verkregen, worden doorverkocht op cybercriminele marktplaatsen of doorgegeven aan toegangsbrokers. Die toegang kan vervolgens worden gebruikt voor het compromitteren van zakelijke e-mail, datadiefstal of de inzet van ransomware.

Door de technische drempel te verlagen, stelt Tycoon 2FA aanvallers in staat om geavanceerde identiteitsgebaseerde aanvallen uit te voeren. De actie tegen Tycoon 2FA is een aanzienlijke tegenslag voor het ecosysteem, maar het elimineert de dreiging niet.

Deze operatie onderstreept het belang van continue informatievergaring in combinatie met sectoroverschrijdende actie. Phishingplatforms opereren over grenzen heen, maken gebruik van gedistribueerde infrastructuur en bedienen duizenden criminele klanten. Geen enkele organisatie heeft hier volledig inzicht in. Een verstoring op deze schaal vereist bruikbare inlichtingen en een gecoördineerde aanpak.

TrendAI™blijft toezicht houden op pogingen om de dienst opnieuw op te bouwen of een nieuwe merknaam te geven onder een nieuwe infrastructuur. Ook ondersteunt het vervolgonderzoek naar geïdentificeerde gebruikers en beheerders.

Eerder gestolen inloggegevens en sessiecookies kunnen nog steeds in omloop zijn. Organisaties moeten daarom waakzaam blijven en, waar nodig, hun verdediging versterken. MFA alleen is niet voldoende tegen dit soort adversary-in-the-middle-phishing. TrendAI™adviseert organisaties om de volgende actie te ondernemen:

• Implementeer phishingbestendige authenticatiemechanismen en handhaaf strikte toegangsbeperkingen.
• Implementeer geavanceerde e-mailbeveiliging en beveiliging voor samenwerkingssoftware die laterale phishing en merkimitatie kan detecteren.
• Schakel real-time URL-inspectie en webcontentanalyse in om nep-inlogpogingen te identificeren.
• Monitor identiteitsrisico’s continu en onderneem snel actie wanneer afwijkend sessiegedrag wordt gedetecteerd.
• Voer regelmatig phishing-simulaties en gerichte trainingen uit om het beveiligingsbewustzijn te vergroten.

“De uitschakeling van Tycoon 2FA laat zien wat mogelijk is wanneer er gezamenlijke actie wordt ondernomen op basis van onderbouwde en duidelijke informatie”, aldus Robert McArdle. “We zullen de actoren, infrastructuur en gebruikers achter deze diensten blijven volgen om onze klanten te beschermen en de operationele kosten van dit ecosysteem te verhogen.”

Download hier het rapport over de gezamenlijke actie van Europol, Microsoft, TrendAI™en andere partners tegen Tycoon 2FA.