Microsoft ha annunciato di aver messo fine a Tycoon 2FA, un pericoloso tool utilizzato da cybercriminali per il phishing.

18 MAGGIO 2026 | Come comunicato lo scorso marzo, secondo un nuovo report il tool Tycoon2FA tornato in attività ora sarebbe stato utilizzato per delle nuove campagne di phishing prendendo di mira gli utenti di Microsoft 365 tramite delle finte schermate di autenticazione con codice di verifica tramite dispositivo.

A fine aprile 2026, l’ unità di risposta alle minacce (TRU) di eSentire ha analizzato una campagna di phishing che combina due tendenze monitorate dalla TRU nel corso dell’ultimo anno. La prima è la continua operatività del kit Tycoon 2FA Phishing-as-a-Service (PhaaS) nonostante l’ operazione di smantellamento condotta nel marzo 2026 da una coalizione guidata da Microsoft ed Europol in collaborazione con eSentire e altri partner del settore ; la seconda è il più ampio spostamento verso l’abuso dei flussi OAuth Device Authorization Grant per compromettere gli account Microsoft 365.

26 MARZO 2026 | Nonostante la dismissione ad inizio mese, secondo il report dei ricercatori di sicurezza Tycoon 2FA sarebbe già ritornato attivo ai livelli precedenti allo smantellamento dei domini intrapreso da Microsoft e Europol. Il tool di phishing rimane quindi una pericolosa minaccia anche gli utenti italiani.

Dalla data di smantellamento di Tycoon2FA , il team CrowdStrike Falcon Complete Next-Gen MDR e il team CrowdStrike Counter Adversary Operations hanno osservato una diminuzione a breve termine del volume di attività della campagna Tycoon2FA ; tuttavia, il volume delle compromissioni cloud è successivamente aumentato fino ai livelli precedentemente osservati da Falcon Complete. Questa ripresa del volume della campagna, unita alla persistenza delle tattiche, tecniche e procedure (TTP) di Tycoon2FA precedentemente osservate , suggerisce che gli attori responsabili del PhaaS probabilmente rimarranno attivi nel panorama delle minacce nel breve e medio termine e richiedono una continua vigilanza da parte dei difensori. 

Tycoon 2FA ha fatto 800 vittime in Italia

Microsoft ha intrapreso azioni per interrompere le attività di Tycoon 2FA, un servizio utilizzato da cybercriminali utilizzato per il furto di dati sensibili e credenziali degli account tramite tecniche di phishing avanzate. Microsoft ha identificato e sequestrato centinaia di domini che servivano da infrastruttura interrompendo le operazioni definitivamente. Tycook 2FA è stato utilizzato per rubare migliaia di nomi utente e password anche in Italia.

Oggi Microsoft, Europol e partner del settore hanno smantellato Tycoon 2FA, uno dei servizi cybercriminali più utilizzati per frodi basate sul furto di identità su larga scala.

Nell’ambito dell’operazione, Microsoft ha sequestrato oltre 300 domini che alimentavano l’infrastruttura principale di Tycoon 2FA. Attivo almeno dal 2023, Tycoon 2FA ha consentito a migliaia di cybercriminali di compromettere account email e servizi online ed è stato collegato a oltre 96.000 vittime di phishing a livello globale, tra cui più di 55.000 clienti Microsoft.

In Italia, Tycoon 2FA ha causato circa 800 vittime, classificando il Paese al 9° posto tra i più colpiti in Europa. Il servizio è stato utilizzato per colpire soprattutto aziende, scuole, ospedali e istituzioni pubbliche.

Non si è trattato di una tradizionale operazione di phishing. Tycoon 2FA operava come un servizio industrializzato progettato per intercettare in tempo reale sessioni di autenticazione attive, acquisendo codici monouso e cookie di sessione e consentendo ai criminali di accedere ad account cloud aziendali anche in presenza di autenticazione a più fattori.

L’operazione rappresenta un esempio concreto di collaborazione pubblico-privato, condotta in coordinamento con Europol e una coalizione di partner del settore tra cui Cloudflare, Coinbase, Proofpoint, Intel471, TrendAI, the Shadowserver Foundation, Resecurity, eSentire e Health-ISAC. L’ampiezza della cooperazione riflette la natura trasversale e multipiattaforma della minaccia.

Cosa ne pensate della faccenda? Scrivete la vostra opinione nei commenti.

Articolo di Windows Blog Italia
Fonte | Microsoft