Na ontmanteling zijn Tycoon 2FA-aanvallen met 77% afgenomen, maar niet helemaal verdwenen

Nieuw onderzoek van Barracuda laat zien hoe de ontmanteling van het dominante phishing-as-a-service (PhaaS)-platform Tycoon 2FA heeft gezorgd voor snellere veranderingen in het phishing-ecosysteem. De bevindingen worden gedetailleerd beschreven in een nieuw onderzoeksartikel, dat laat zien hoe andere phishing-spelers snel in het gat sprongen om het marktaandeel van Tycoon over te nemen, waarbij de tools, technieken en mogelijkheden door anderen werden overgenomen en herzien. Ook verdwenen kleinschaligere campagnes helemaal niet. 

Tycoon 2FA werd begin maart flink ontwricht door een internationale actie van politie en justitie. Vóór deze ontmanteling werden via Tycoon 2FA gemiddeld meer dan 9 miljoen phishingaanvallen per maand uitgevoerd, gevolgd door Mamba 2FA met ongeveer 8 miljoen en EvilProxy op een derde plaats met bijna 3 miljoen aanvallen. Sneaky 2FA was verantwoordelijk voor bijna 700 duizend aanvallen. 

Na de ontmanteling van Tycoon werd Mamba 2FA het dominante phishingplatform, met een verdubbeling tot 15 miljoen aanvallen per maand. EvilProxy steeg tot ongeveer 4 miljoen aanvallen, terwijl Sneaky 2FA verdrievoudigde tot bijna 2 miljoen. De activiteit van Tycoon 2FA daalde met 77%, maar was nog steeds goed voor ruim 2 miljoen aanvallen. 

Hoe Tycoon 2FA toch voortleeft

Volgens de onderzoekers van Barracuda kan Tycoon 2FA voortbestaan dankzij verschillende factoren. 

1. Niet alles werd ontmanteld

Zo blijven varianten van de aanvalscode van Tycoon 2FA die door andere aanvallers zijn gekloond of aangepast, in omloop. Onafhankelijk gehoste implementaties blijven actief en kleine campagnes met een laag volume blijven bestaan. 

2. Aanvallers hergebruiken phishingcode en passen deze aan

PhaaS-toolsets lijken steeds meer op open-sourceontwikkelomgevingen. Code wordt hergebruikt, aangepast en opnieuw ingezet, en functies migreren van de ene phishingkit naar de andere.  

3. Resterende infrastructuur

Elementen van de aanvalsinfrastructuur kunnen blijven bestaan. Aanvalsdomeinen blijven bijvoorbeeld actief tot ze verlopen, terwijl back-uphosting vaak de onmiddellijke inbeslagname ontloopt. Ook gaan kleinere phishingcampagnes door als ze onder de waarschuwingsdrempels blijven. Deze resterende campagnes kunnen stilletjes de initiële responsinspanningen overleven. 

4. Phishing-frameworks hebben vaak ingebouwde redundantie

Moderne phishing-frameworks bevatten vaak maatregelen om te herstellen van verstoringen. Voorbeelden hiervan zijn failover-infrastructuur om te zorgen voor continuïteit van lopende campagnes, workflows voor snel herstel na een verstoring en compatibiliteit met andere phishing-kits. 

5. Aanhoudende toegang

De disruptie van de infrastructuur betekent niet automatisch dat slachtoffers er niet meer bij kunnen. Gestolen session cookies kunnen geldig blijven, misbruik van OAuth kan cloudtoegang mogelijk maken en ook na het einde van de phishingcampagne kunnen organisaties nog steeds gecompromitteerd zijn. 

“Phishingdreigingen eindigen niet netjes,” zegt Saravanan Mohankumar, Manager van het Threat Analysis Team bij Barracuda. “Aanvalspatronen migreren in plaats van te verdwijnen en tools nemen bewezen technieken over en verfijnen deze. De mogelijkheden die door Tycoon 2FA populair zijn gemaakt, worden nu gebruikt door tal van andere platforms en we hebben al gezien dat ze met succes zijn ingezet bij aanvallen op devicecode. Detectietechnieken die aan individuele kits zijn gekoppeld, raken snel verouderd. Voor echte veerkracht moeten defensieve strategieën zich richten op brede modellen van identity-based aanvallen en sessiemisbruik.”

Meer informatie is hier te vinden: https://blog.barracuda.com/2026/04/16/threat-spotlight-tycoon-2fa-scattered-everywhere