Europol, Microsoft, TrendAI\u2122 and Collaborators Halt Tycoon 2FA Operations<\/a> von\u00a0 TrendAI\u2122, einem Gesch\u00e4ftsbereich von Trend Micro, ging mir die Woche zu. Die Aktion war durch die\u00a0Zusammenarbeit von Europol mit einem Verbund von Branchenpartnern \u2013 darunter Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel471, Microsoft, Proofpoint, Resecurity, Shadowserver und SpyCloud m\u00f6glich. TrendAI\u2122 Threat Intelligence lieferte dabei Infrastruktur-Tracking und T\u00e4terattribution, die unmittelbar zur Strafverfolgung beitrugen.<\/p>\nDie Plattform Tycoon2FA<\/h2>\n
Tycoon2FA tauchte erstmals im August 2023 als abonnementbasiertes Phishing-Toolkit auf, das auf Adversary-in-the-Middle-Techniken setzte. Die Plattform fing nicht nur Benutzernamen und Passw\u00f6rter ab, sondern kaperte aktive Authentifizierungssitzungen, einschlie\u00dflich Anmeldedaten, Einmalpassw\u00f6rtern und aktiver Session-Cookies, in Echtzeit. Diese Cookies lie\u00dfen sich anschlie\u00dfend wiederverwenden, um Zugang zu Konten zu erlangen und so MFA-Schutzmechanismen zu umgehen, auf die Unternehmen weltweit vertrauen.<\/p>\n
Zum Zeitpunkt der Zerschlagung z\u00e4hlte Tycoon2FA rund 2.000 Nutzer und hatte seit dem Start mehr als 24.000 Domains eingesetzt. Die Kampagnen zielten prim\u00e4r auf Microsoft 365 und andere Cloud-Dienste ab.<\/p>\n
Analyse der Infrastruktur \u00fcber lange Zeit<\/h2>\n
Die Bedrohungsforscher von TrendAI\u2122 beobachteten die Infrastruktur, Kampagnen und das Verhalten der Betreiber \u00fcber einen l\u00e4ngeren Zeitraum. Im November 2025 konnten die Forscher die Operation einem Akteur zuordnen, der unter den Pseudonymen SaaadFridi und Mr_Xaad agierte. Nach ihrer Einsch\u00e4tzung handelt es sich dabei um den Entwickler und Hauptbetreiber des Dienstes.<\/p>\n
Fr\u00fchere Aktivit\u00e4ten deuteten auf eine Vergangenheit im Bereich Web Defacement hin, bevor der Akteur zur gro\u00dfangelegten Entwicklung von Phishing-Kits wechselte. Detaillierte Erkenntnisse zu eingesetzten Tools, Infrastrukturmustern und operativem Verhalten gab TrendAI\u2122 an Europol weiter, um koordinierte Ma\u00dfnahmen zu erm\u00f6glichen.<\/p>\n
\"Das war keine einzelne Phishing-Kampagne. Es war ein industrialisierter Dienst, der MFA-Bypass f\u00fcr Tausende von Kriminellen zug\u00e4nglich machte\", erkl\u00e4rt Robert McArdle, Director f\u00fcr Cybercrime Research bei TrendAI\u2122. \u201eIdentit\u00e4t ist heute die prim\u00e4re Angriffsfl\u00e4che. Wenn Session Hijacking als Abo-Modell angeboten wird, verschiebt sich das Risiko von Einzelf\u00e4llen hin zu systemischer Bedrohung.\"<\/p>\n
Phishing-as-a-Service-Plattformen wie Tycoon2FA werden oft als nachrangig gegen\u00fcber Ransomware betrachtet. In der Praxis dienen sie jedoch h\u00e4ufig als erstes Einfallstor. Zugangsdaten und aktive Session Tokens, die \u00fcber Adversary-in-the-Middle-Kampagnen erbeutet werden, landen auf etablierten kriminellen Marktpl\u00e4tzen oder werden an Access Broker weitergegeben. Dieser Zugang l\u00e4sst sich anschlie\u00dfend durch Business E-Mail Compromise (BEC), Datendiebstahl oder Ransomware-Angriffe monetarisieren.<\/p>\n
Durch die Senkung der technischen Einstiegsh\u00fcrde erweiterte Tycoon2FA den Kreis der Angreifer, die in der Lage sind, ausgefeilte identit\u00e4tsbasierte Attacken durchzuf\u00fchren. Die Zerschlagung bedeutet einen erheblichen R\u00fcckschlag f\u00fcr dieses \u00d6kosystem, beseitigt jedoch nicht die grundlegende Bedrohung.<\/p>\n
Takedown der Plattform<\/h2>\n
Die Takedown-Operation unterstreicht den Wert einer nachhaltigen Bedrohungsanalyse in Kombination mit branchenweiter Koordination. Phishing-Plattformen operieren grenz\u00fcberschreitend, setzen auf verteilte Infrastrukturen und bedienen Tausende krimineller Kunden. Keine einzelne Organisation hat vollst\u00e4ndige Transparenz. Eine Zerschlagung in diesem Ausma\u00df erfordert deshalb verwertbare Erkenntnisse und abgestimmtes Handeln.<\/p>\n
TrendAI\u2122 will auch in Zukunft m\u00f6gliche Versuche beobachten, den Dienst unter neuer Infrastruktur wiederaufzubauen oder umzubenennen, und unterst\u00fctzt Folgeermittlungen gegen identifizierte Nutzer und Administratoren. Zuvor gestohlene Zugangsdaten und Session-Cookies k\u00f6nnten weiterhin im Umlauf sein, weshalb Wachsamkeit auch weiterhin wichtig ist.<\/p>\n
Die Zerschlagung unterstreicht eine klare Botschaft: MFA allein reicht gegen Adversary-in-the-Middle-Phishing nicht aus.\u00a0TrendAI\u2122 empfiehlt Unternehmen folgende Ma\u00dfnahmen:<\/p>\n
\n- Phishing-resistente Authentifizierungsmechanismen einf\u00fchren und strenge Conditional-Access-Richtlinien durchsetzen.<\/li>\n
- Erweiterte E-Mail- und Collaboration-Sicherheit implementieren, die Lateral Phishing und Unternehmens-Impersonation erkennt.<\/li>\n
- URL-Pr\u00fcfung und Web-Content-Analyse in Echtzeit aktivieren, um gef\u00e4lschte Login-Infrastrukturen zu identifizieren.<\/li>\n
- Identit\u00e4tsrisiken kontinuierlich \u00fcberwachen und bei anomalem Sitzungsverhalten schnelle Gegenma\u00dfnahmen einleiten.<\/li>\n
- Regelm\u00e4\u00dfige Phishing-Simulationen und gezielte Security-Awareness-Trainings durchf\u00fchren, um das Risiko durch menschliche Fehler zu reduzieren.<\/li>\n<\/ul>\n
\"Die Zerschlagung von Tycoon2FA zeigt, was m\u00f6glich ist, wenn nicht nur beobachtet, sondern auch gehandelt wird\", sagt Robert McArdle von TrendAI\u2122.<\/p>\n","protected":false},"excerpt":{"rendered":"
K\u00fcrzlich wurde die MFA-Bypass-Plattform Tycoon2FA beschlagnahmt und offline genommen. Die als f\u00fchrend bezeichnete Phishing-as-a-Service-Plattform war darauf ausgelegt, Multi-Faktor-Authentifizierung zu umgehen und Konto\u00fcbernahmen im gro\u00dfen Stil zu erm\u00f6glichen. Trend Micro war an dieser Europol-Aktion beteiligt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-322301","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322301","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322301"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322301\/revisions"}],"predecessor-version":[{"id":322302,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322301\/revisions\/322302"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
K\u00fcrzlich wurde die MFA-Bypass-Plattform Tycoon2FA beschlagnahmt und offline genommen. Die als f\u00fchrend bezeichnete Phishing-as-a-Service-Plattform war darauf ausgelegt, Multi-Faktor-Authentifizierung zu umgehen und Konto\u00fcbernahmen im gro\u00dfen Stil zu erm\u00f6glichen. Trend Micro war an dieser Europol-Aktion beteiligt.<\/p>\n