Europol ha coordinato una complessa operazione internazionale che ha distrutto l’infrastruttura alla base di Tycoon2FA. L’azione, annunciata il 04 Mar 2026, ha mirato a neutralizzare un servizio criminale che consentiva di intercettare sessioni di autenticazione e aggirare le difese a più fattori.
L’operazione ha coinvolto autorità nazionali e numerosi partner del settore per rimuovere centinaia di risorse online utilizzate per il phishing. Tycoon2FA è descritto dalle autorità come un servizio che facilitava la compromissione degli account mediante l’intercettazione dei codici di accesso a due fattori. Le indagini restano aperte e le autorità continuano gli approfondimenti sulle reti coinvolte.
Le dimensioni dell’operazione e il ruolo dei partner
Dopo l’intervento coordinato da Europol, le autorità hanno proceduto al sequestro o alla rimozione di 330 domini collegati all’infrastruttura centrale di Tycoon2FA.
L’operazione ha riguardato pannelli di controllo e pagine di phishing utilizzate per gestire il servizio illecito. L’azione è stata condotta con il supporto della National Crime Agency del Regno Unito e con il coinvolgimento di società private specializzate nella sicurezza e nella gestione delle reti. Tra i partner figurano provider di contenuti e piattaforme di cybersecurity che hanno collaborato per disattivare le risorse compromesse. Le misure sono state eseguite in diversi paesi europei, tra cui Lettonia, Lituania, Portogallo, Polonia e Spagna, mentre le indagini restano aperte per identificare ulteriori responsabilità e reti correlate.
Da dove è partita l’intelligence
La disruption è il risultato di un lavoro investigativo prolungato, condotto con il contributo determinante delle aziende di sicurezza e delle forze dell’ordine.
Le analisi tecniche hanno mostrato che Tycoon2FA operava da almeno l’estate del 2026. Nel periodo analizzato il gruppo ha orchestrato campagne sfruttando oltre 24.000 domini, secondo i report condivisi. Pattern di comportamento e dati di rete hanno permesso di costruire un quadro di attribuzione convincente e di orientare le azioni giudiziarie. Le indagini restano aperte per identificare ulteriori responsabilità e reti correlate.
Modalità d’azione e impatto sulle vittime
Le autorità hanno collegato le misure di disruption alle attività offensive identificate durante l’operazione, pur mantenendo le indagini aperte per ulteriori sviluppi. Tycoon2FA operava come servizio di tipo PhaaS e forniva ai clienti kit pronti all’uso, incluse pagine di login contraffatte, livelli proxy e strumenti per gestire campagne di phishing.
La piattaforma sfruttava una tecnica nota come adversary-in-the-middle per intercettare in tempo reale credenziali, codici one-time e cookie di sessione, consentendo l’autenticazione degli attori criminali senza immediata individuazione. Secondo le stime fornite da Microsoft e altri partner, la piattaforma sarebbe stata collegata a circa 96.000 vittime a livello globale dal 2026, comprese oltre 55.000 utenze Microsoft. Nel periodo di massima attività, a metà del 2026, Tycoon2FA sarebbe stata alla base di una quota significativa degli attacchi di phishing intercettati da Microsoft, con decine di milioni di messaggi inviati in singoli mesi.
Settori e aree geografiche colpite
La maggior parte delle vittime era localizzata negli Stati Uniti, pari a circa il 52% del totale.
Seguono Regno Unito (8%), Germania (5%) e Canada (4%).
I settori più colpiti sono stati sanità e istruzione. Oltre cento membri di Health‑ISAC risultano compromessi, con interruzioni delle attività ospedaliere e scolastiche.
Le conseguenze operative includono sospensioni di servizi, deviazioni di procedure cliniche e interruzioni delle piattaforme didattiche. Le autorità mantengono aperte le indagini per determinare l’origine e l’estensione completa delle compromissioni.
Operatori, responsabilità e conseguenze legali
Le indagini tecniche hanno individuato i presunti gestori della piattaforma, fornendo elementi utili alle azioni legali. La svolta è arrivata nel novembre 2026, quando i ricercatori di TrendAI hanno segnalato il probabile sviluppatore principale, noto con gli handle SaaadFridi e Mr_Xaad.
Un individuo identificato come Saad Fridi e altre quattro persone indagate sono state citate in giudizio da Microsoft e Health-ISAC presso il Tribunale Distrettuale degli Stati Uniti per il Distretto Sud di New York. L’accusa riguarda la gestione e la diffusione della piattaforma, nonché le conseguenze sulle reti compromesse.
Le autorità giudiziarie e gli inquirenti civili proseguono le azioni per chiarire ruoli e responsabilità. Gli sviluppi processuali determineranno eventuali sanzioni penali e richieste di risarcimento per le parti lese.
Dopo gli sviluppi processuali precedentemente descritti, il servizio rimosso contava circa 2.000 abbonati attivi. Ogni utente pagava in media $120 per un accesso di dieci giorni. Il modello PhaaS risultava quindi facilmente monetizzabile e replicabile. La portata commerciale ha reso l’ecosistema particolarmente pericoloso, riducendo la soglia tecnica necessaria per attaccanti con competenze limitate.
Perché il problema persiste
Nonostante l’operazione giudiziaria, esperti e autorità segnalano che la minaccia rimane. Piattaforme analoghe come BlackForce e GhostFrame continuano a operare. Altre, tra cui InboxPrimeAI, sfruttano tecniche di generative AI per rendere gli attacchi più credibili. Le credenziali sottratte vengono spesso rivendute o utilizzate come punto di ingresso per campagne ransomware. Le forze dell’ordine e gli organismi di contrasto mantengono il monitoraggio e valutano possibili ulteriori interventi giudiziari e tecnici.
Raccomandazioni per le difese e misure operative
La rimozione di Tycoon2FA indica che l’MFA tradizionale può risultare insufficiente contro attacchi AitM. Le organizzazioni devono adottare meccanismi di autenticazione resistenti al phishing, applicare politiche di accesso condizionato più stringenti e impiegare soluzioni per la sicurezza di posta e collaborazione in grado di ispezionare gli URL in tempo reale.
È inoltre fondamentale attivare il monitoraggio continuo del rischio identità, procedure rapide per la revoca di sessioni e token sospetti e programmi periodici di formazione e simulazione di phishing per utenti ad alto rischio. La cooperazione tra aziende e forze dell’ordine rimane essenziale per aumentare il costo operativo dei criminali e ridurre la probabilità di ricostruzione o rebrand di servizi smantellati; le autorità mantengono il monitoraggio e valutano ulteriori interventi tecnici e giudiziari.
