Takedown von MFA-Bypass-Plattform Tycoon2FA

Veröffentlicht am 8. März 2026 von Günter Born

Sicherheit (Pexels, allgemeine Nutzung)Kürzlich wurde die MFA-Bypass-Plattform Tycoon2FA beschlagnahmt und offline genommen. Die als führend bezeichnete Phishing-as-a-Service-Plattform war darauf ausgelegt, Multi-Faktor-Authentifizierung zu umgehen und Kontoübernahmen im großen Stil zu ermöglichen. Trend Micro war an dieser Europol-Aktion beteiligt.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)

Die Meldung Europol, Microsoft, TrendAI™ and Collaborators Halt Tycoon 2FA Operations von  TrendAI™, einem Geschäftsbereich von Trend Micro, ging mir die Woche zu. Die Aktion war durch die Zusammenarbeit von Europol mit einem Verbund von Branchenpartnern – darunter Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel471, Microsoft, Proofpoint, Resecurity, Shadowserver und SpyCloud möglich. TrendAI™ Threat Intelligence lieferte dabei Infrastruktur-Tracking und Täterattribution, die unmittelbar zur Strafverfolgung beitrugen.

Die Plattform Tycoon2FA

Tycoon2FA tauchte erstmals im August 2023 als abonnementbasiertes Phishing-Toolkit auf, das auf Adversary-in-the-Middle-Techniken setzte. Die Plattform fing nicht nur Benutzernamen und Passwörter ab, sondern kaperte aktive Authentifizierungssitzungen, einschließlich Anmeldedaten, Einmalpasswörtern und aktiver Session-Cookies, in Echtzeit. Diese Cookies ließen sich anschließend wiederverwenden, um Zugang zu Konten zu erlangen und so MFA-Schutzmechanismen zu umgehen, auf die Unternehmen weltweit vertrauen.

Zum Zeitpunkt der Zerschlagung zählte Tycoon2FA rund 2.000 Nutzer und hatte seit dem Start mehr als 24.000 Domains eingesetzt. Die Kampagnen zielten primär auf Microsoft 365 und andere Cloud-Dienste ab.

Analyse der Infrastruktur über lange Zeit

Die Bedrohungsforscher von TrendAI™ beobachteten die Infrastruktur, Kampagnen und das Verhalten der Betreiber über einen längeren Zeitraum. Im November 2025 konnten die Forscher die Operation einem Akteur zuordnen, der unter den Pseudonymen SaaadFridi und Mr_Xaad agierte. Nach ihrer Einschätzung handelt es sich dabei um den Entwickler und Hauptbetreiber des Dienstes.

Frühere Aktivitäten deuteten auf eine Vergangenheit im Bereich Web Defacement hin, bevor der Akteur zur großangelegten Entwicklung von Phishing-Kits wechselte. Detaillierte Erkenntnisse zu eingesetzten Tools, Infrastrukturmustern und operativem Verhalten gab TrendAI™ an Europol weiter, um koordinierte Maßnahmen zu ermöglichen.

"Das war keine einzelne Phishing-Kampagne. Es war ein industrialisierter Dienst, der MFA-Bypass für Tausende von Kriminellen zugänglich machte", erklärt Robert McArdle, Director für Cybercrime Research bei TrendAI™. „Identität ist heute die primäre Angriffsfläche. Wenn Session Hijacking als Abo-Modell angeboten wird, verschiebt sich das Risiko von Einzelfällen hin zu systemischer Bedrohung."

Phishing-as-a-Service-Plattformen wie Tycoon2FA werden oft als nachrangig gegenüber Ransomware betrachtet. In der Praxis dienen sie jedoch häufig als erstes Einfallstor. Zugangsdaten und aktive Session Tokens, die über Adversary-in-the-Middle-Kampagnen erbeutet werden, landen auf etablierten kriminellen Marktplätzen oder werden an Access Broker weitergegeben. Dieser Zugang lässt sich anschließend durch Business E-Mail Compromise (BEC), Datendiebstahl oder Ransomware-Angriffe monetarisieren.

Durch die Senkung der technischen Einstiegshürde erweiterte Tycoon2FA den Kreis der Angreifer, die in der Lage sind, ausgefeilte identitätsbasierte Attacken durchzuführen. Die Zerschlagung bedeutet einen erheblichen Rückschlag für dieses Ökosystem, beseitigt jedoch nicht die grundlegende Bedrohung.

Takedown der Plattform

Die Takedown-Operation unterstreicht den Wert einer nachhaltigen Bedrohungsanalyse in Kombination mit branchenweiter Koordination. Phishing-Plattformen operieren grenzüberschreitend, setzen auf verteilte Infrastrukturen und bedienen Tausende krimineller Kunden. Keine einzelne Organisation hat vollständige Transparenz. Eine Zerschlagung in diesem Ausmaß erfordert deshalb verwertbare Erkenntnisse und abgestimmtes Handeln.

TrendAI™ will auch in Zukunft mögliche Versuche beobachten, den Dienst unter neuer Infrastruktur wiederaufzubauen oder umzubenennen, und unterstützt Folgeermittlungen gegen identifizierte Nutzer und Administratoren. Zuvor gestohlene Zugangsdaten und Session-Cookies könnten weiterhin im Umlauf sein, weshalb Wachsamkeit auch weiterhin wichtig ist.

Die Zerschlagung unterstreicht eine klare Botschaft: MFA allein reicht gegen Adversary-in-the-Middle-Phishing nicht aus. TrendAI™ empfiehlt Unternehmen folgende Maßnahmen:

  • Phishing-resistente Authentifizierungsmechanismen einführen und strenge Conditional-Access-Richtlinien durchsetzen.
  • Erweiterte E-Mail- und Collaboration-Sicherheit implementieren, die Lateral Phishing und Unternehmens-Impersonation erkennt.
  • URL-Prüfung und Web-Content-Analyse in Echtzeit aktivieren, um gefälschte Login-Infrastrukturen zu identifizieren.
  • Identitätsrisiken kontinuierlich überwachen und bei anomalem Sitzungsverhalten schnelle Gegenmaßnahmen einleiten.
  • Regelmäßige Phishing-Simulationen und gezielte Security-Awareness-Trainings durchführen, um das Risiko durch menschliche Fehler zu reduzieren.

"Die Zerschlagung von Tycoon2FA zeigt, was möglich ist, wenn nicht nur beobachtet, sondern auch gehandelt wird", sagt Robert McArdle von TrendAI™.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.