Operação internacional derruba Tycoon 2FA, serviço de phishing-as-a-service ligado a mais de 64 mil ataques
Uma ação coordenada por autoridades de diferentes países, liderada pela Europol e apoiada por grandes empresas de segurança digital, desmantelou a infraestrutura do Tycoon 2FA – um dos serviços de phishing-as-a-service (PhaaS) mais ativos e perigosos dos últimos anos. A plataforma era usada por grupos criminosos para executar ataques do tipo adversary-in-the-middle (AiTM) em grande escala, com foco no roubo de credenciais, códigos de autenticação multifator (MFA) e cookies de sessão.
Identificado inicialmente em agosto de 2023, o Tycoon 2FA seguia um modelo de assinatura. O serviço era comercializado principalmente em canais privados de comunicação, como Telegram e Signal, com planos que começavam em cerca de 120 dólares por 10 dias de uso e chegavam a 350 dólares por um mês de acesso completo ao painel web. Investigações apontam que o principal desenvolvedor seria Saad Fridi, supostamente baseado no Paquistão.
O grande diferencial do Tycoon 2FA não era apenas a oferta de páginas falsas de login, mas um painel de administração extremamente completo, voltado para operadores com pouco conhecimento técnico. Por meio dessa interface, era possível configurar campanhas massivas de phishing, gerenciar domínios maliciosos, acompanhar vítimas em tempo real e ajustar a infraestrutura criminosa com poucos cliques.
Entre os recursos oferecidos aos assinantes, estavam:
– Modelos prontos de páginas de login falsas, que imitavam com alto grau de fidelidade serviços amplamente utilizados;
– Arquivos de anexos maliciosos configurados como iscas para campanhas de e-mail;
– Ferramentas para registrar domínios e configurar hospedagem de páginas de phishing;
– Mecanismos de redirecionamento para tornar a fraude mais convincente e burlar sistemas de segurança;
– Painéis de monitoramento em tempo real de tentativas de login bem-sucedidas e mal-sucedidas.
Todas as informações capturadas – logins, senhas, códigos de autenticação de segundo fator e cookies de sessão – podiam ser baixadas diretamente pelo painel ou encaminhadas automaticamente para canais no Telegram. Dessa forma, os operadores tinham visibilidade quase imediata dos resultados de cada campanha, o que permitia reagir rapidamente e explorar contas comprometidas antes que as vítimas percebessem algo errado.
De acordo com a Europol, a plataforma deu suporte a milhares de cibercriminosos que passaram a ter acesso clandestino a contas de e-mail e serviços em nuvem ao redor do mundo. Essa operação massiva resultava em dezenas de milhões de mensagens de phishing enviadas por mês e abriu brechas em aproximadamente 100 mil organizações, incluindo escolas, hospitais, empresas privadas e órgãos públicos.
Na ofensiva internacional que levou ao desmantelamento do serviço, foram derrubados 330 domínios ligados diretamente à infraestrutura do Tycoon 2FA. Entre eles estavam tanto as páginas de phishing usadas para enganar as vítimas quanto os próprios painéis de controle operados pelos atacantes.
Análises conduzidas pela empresa de inteligência de ameaças Intel 471 indicam que o Tycoon 2FA esteve associado a mais de 64 mil incidentes de phishing documentados e à criação de dezenas de milhares de domínios maliciosos. Esses números ajudam a dimensionar o impacto da plataforma no ecossistema global de ameaças.
A Microsoft, que rastreava os operadores do serviço sob o codinome Storm-1747, classificou o Tycoon 2FA como a plataforma de phishing mais prolífica identificada pela empresa em 2025. Apenas em outubro daquele ano, foram bloqueados mais de 13 milhões de e-mails maliciosos vinculados diretamente ao serviço.
No auge da sua atividade, em meados de 2025, o Tycoon 2FA chegou a ser responsável por 62% de todas as tentativas de phishing bloqueadas pela Microsoft. Em determinados meses, o volume associado à plataforma ultrapassou 30 milhões de e-mails maliciosos, mostrando como um único serviço PhaaS pode desequilibrar todo o cenário de ameaças.
Desde 2023, estima-se que aproximadamente 96 mil pessoas tenham sido vítimas diretas de campanhas ligadas ao Tycoon 2FA, sendo mais de 55 mil usuários de serviços da Microsoft. Esses números não incluem apenas contas pessoais, mas, principalmente, acessos corporativos a ambientes de trabalho, e-mail profissional e sistemas em nuvem.
Levantamento realizado pela SpyCloud mostrou que os Estados Unidos concentraram a maior parte das contas comprometidas rastreadas, chegando a 179.264 perfis afetados. Em seguida, aparecem:
– Reino Unido, com 16.901 contas;
– Canadá, com 15.272 contas;
– Índia, com 7.832 contas;
– França, com 6.823 contas.
A maior parte dessas contas fazia parte de ambientes empresariais, reforçando que o foco do Tycoon 2FA eram organizações e não apenas usuários individuais. O objetivo dos invasores não se limitava ao roubo de uma conta de e-mail, mas à abertura de portas para ataques mais sofisticados, como sequestro de dados, movimentação lateral dentro da rede e fraudes financeiras.
Relatórios da Proofpoint indicaram mais de 3 milhões de mensagens maliciosas associadas ao Tycoon 2FA somente em fevereiro de 2026. Já a Trend Micro estimou que cerca de 2 mil operadores ativos utilizavam o serviço para lançar campanhas contra praticamente todos os setores da economia.
Entre os segmentos mais visados estavam educação, saúde, serviços financeiros, entidades sem fins lucrativos e órgãos governamentais. Em média, as campanhas ligadas ao kit alcançavam mais de 500 mil organizações por mês, muitas vezes por meio de mensagens que pareciam comunicações internas, notificações de serviços de nuvem ou avisos de atualização de conta.
O poder de engano do Tycoon 2FA vinha, em grande parte, da capacidade de clonar com precisão interfaces de serviços amplamente utilizados no ambiente corporativo, como:
– Microsoft 365;
– OneDrive;
– Outlook;
– SharePoint;
– Gmail.
Na prática, o ataque funcionava interceptando o fluxo de autenticação entre o usuário e o serviço legítimo. Trata-se do modelo adversary-in-the-middle: a vítima acessa um link acreditando estar entrando em uma página verdadeira, insere login, senha e código de autenticação de segundo fator, enquanto o kit captura esses dados em tempo real e os repassa aos criminosos.
Ao mesmo tempo em que as credenciais e códigos MFA eram capturados, o Tycoon 2FA também armazenava cookies de sessão e tokens de autenticação. Esses elementos permitem ao invasor manter o acesso à conta mesmo depois que o usuário altera a senha, desde que as sessões ativas não sejam revogadas e os tokens não sejam invalidados pelo provedor do serviço.
Para dificultar a detecção, a plataforma incorporava diversas técnicas de evasão. Entre elas, o uso de domínios rotativos, hospedagem distribuída, filtros geográficos (geofencing) para exibir páginas falsas apenas a determinadas regiões e mecanismos para reconhecer bots e scanners de segurança, apresentando a eles conteúdo inofensivo. Isso reduz a chance de que os links sejam rapidamente marcados como maliciosos por filtros de e-mail e navegadores.
Outro recurso avançado explorado por grupos que utilizavam o Tycoon 2FA era o chamado “ATO Jumping” (Account Takeover Jumping). Após comprometer uma conta, os invasores usavam a confiança associada a esse endereço – por exemplo, o e-mail de um funcionário ou de um parceiro de negócios – para enviar novas rodadas de phishing a contatos legítimos. Assim, um único comprometimento servia como ponto de partida para uma cadeia de invasões, muitas vezes dentro do mesmo ecossistema de empresas.
Esse modelo de serviço mostra como o phishing deixou de ser uma atividade artesanal para se tornar uma indústria organizada, com divisão de funções, suporte ao “cliente” criminoso e constante evolução tecnológica. Plataformas como o Tycoon 2FA reduzem a barreira de entrada para cibercriminosos, permitindo que pessoas com pouco conhecimento técnico lancem campanhas altamente sofisticadas.
Mesmo com o desmantelamento da infraestrutura principal, o impacto do Tycoon 2FA deve continuar sendo sentido por algum tempo. Contas comprometidas no passado podem ainda estar sob controle de invasores, especialmente em ambientes que não revogaram sessões antigas, não forçaram redefinições de senha ou não revisaram acessos suspeitos. Além disso, a derrubada de uma grande plataforma de PhaaS costuma abrir espaço para o surgimento de serviços concorrentes que tentam ocupar o vácuo deixado.
Para empresas, o caso reforça a necessidade de tratar o phishing não apenas como um problema de conscientização do usuário, mas como uma ameaça estruturada, que utiliza engenharia social combinada a técnicas avançadas de interceptação de sessão. Somente a adoção de MFA não basta quando o adversário é capaz de capturar tanto a senha quanto o código de autenticação em tempo real.
Medidas adicionais tornam-se essenciais, como:
– Implementação de autenticação resistente a phishing, baseada em padrões como FIDO2 e chaves de segurança físicas;
– Monitoramento contínuo de logins suspeitos, incluindo geolocalização, dispositivos desconhecidos e comportamentos anômalos;
– Uso de soluções de proteção de identidade e acesso que invalidem automaticamente sessões e tokens diante de indícios de comprometimento;
– Revisão periódica de regras de e-mail, encaminhamentos automáticos e acessos delegados, que muitas vezes são explorados após o sequestro de uma conta.
Do ponto de vista dos usuários finais, boas práticas seguem sendo cruciais: desconfiar de mensagens que pressionam por ações imediatas, verificar o endereço do remetente, checar cuidadosamente o domínio exibido na barra do navegador e, sempre que possível, acessar serviços digitando o endereço diretamente em vez de clicar em links recebidos por e-mail ou mensagem.
Especialistas também destacam a importância de treinar equipes para reconhecer sinais de ataques do tipo AiTM, como pequenas diferenças visuais nas páginas de login, ausência de cadeado SSL em determinados casos ou mudanças no fluxo de autenticação. Simulações de phishing podem ajudar a identificar áreas de maior vulnerabilidade e direcionar programas de capacitação.
O desmantelamento do Tycoon 2FA é um passo importante na repressão a serviços de phishing-as-a-service, mas está longe de encerrar o problema. A natureza descentralizada da internet e o baixo custo para registrar domínios e hospedar páginas maliciosas permitem que novos kits e plataformas surjam rapidamente. A tendência é que operações internacionais como essa se tornem mais frequentes, em paralelo à evolução das ferramentas defensivas.
Em última análise, o caso ilustra como o phishing continua sendo a principal porta de entrada para ataques maiores, incluindo ransomware, espionagem corporativa, fraudes financeiras e sabotagem de infraestrutura crítica. Combater plataformas como o Tycoon 2FA exige uma combinação de ação policial, cooperação entre empresas de tecnologia e segurança, atualização constante de mecanismos de proteção e, sobretudo, uma mudança cultural nas organizações, que precisam tratar a segurança da informação como parte estratégica do negócio, e não apenas como um custo operacional.