Underc0de - La Casa de los Informáticos

Una operación internacional coordinada entre agencias de seguridad y empresas del sector tecnológico ha logrado desmantelar Tycoon 2FA, uno de los kits de phishing como servicio (PhaaS) más utilizados por ciberdelincuentes para lanzar ataques masivos de robo de credenciales mediante técnicas de Adversary-in-the-Middle (AiTM).

La plataforma criminal permitía a miles de atacantes ejecutar campañas automatizadas capaces de interceptar credenciales, códigos de autenticación multifactor (MFA) y cookies de sesión, facilitando el acceso no autorizado a cuentas corporativas y servicios en la nube. Según el organismo policial europeo Europol, Tycoon 2FA se había convertido en una de las operaciones de phishing más grandes del mundo.

Qué era Tycoon 2FA y cómo funcionaba

Tycoon 2FA apareció por primera vez en agosto de 2023 y rápidamente se popularizó en foros clandestinos y aplicaciones de mensajería cifrada como Telegram y Signal.

El servicio se ofrecía bajo un modelo de suscripción criminal, con precios relativamente bajos que lo hacían accesible incluso para ciberdelincuentes sin experiencia técnica.

Los planes incluían:

• 120 dólares por 10 días de acceso
• 350 dólares por un mes completo con panel administrativo

Según informes de inteligencia, el presunto desarrollador principal del kit sería Saad Fridi, un actor vinculado a operaciones de cibercrimen que presuntamente operaba desde Pakistán.

El panel de administración de Tycoon 2FA funcionaba como centro de control para campañas de phishing, permitiendo a los operadores:

• Configurar dominios y alojamiento web
• Crear páginas de phishing con plantillas predefinidas
• Gestionar campañas de correo electrónico
• Monitorizar credenciales robadas en tiempo real
• Automatizar redirecciones de víctimas
• Recibir datos robados directamente en Telegram

Esta facilidad de uso permitió que miles de actores maliciosos ejecutaran ataques sofisticados sin conocimientos avanzados de programación.

Un ataque masivo contra empresas y organizaciones

El impacto de Tycoon 2FA fue enorme. De acuerdo con los datos recopilados por Microsoft, la plataforma se convirtió en la infraestructura de phishing más prolífica observada por la compañía en 2025.

El grupo responsable de operar el servicio fue rastreado internamente por Microsoft bajo el nombre Storm-1747.

Entre los datos más relevantes de su actividad se encuentran:

• Más de 13 millones de correos maliciosos bloqueados en octubre de 2025
• Alrededor de 30 millones de emails de phishing enviados en un solo mes
• Aproximadamente 62 % de todos los intentos de phishing detectados por Microsoft en 2025

Desde su aparición en 2023, Tycoon 2FA estuvo vinculado a más de 96.000 víctimas de phishing en todo el mundo, incluyendo más de 55.000 clientes de Microsoft.

Infraestructura criminal desmantelada

Como parte de la operación internacional para desarticular el servicio, las autoridades lograron retirar más de 330 dominios maliciosos que formaban la infraestructura central del kit de phishing.

Estos dominios alojaban:

• Paneles administrativos
• Páginas falsas de autenticación
• servidores proxy AiTM
• sistemas de recolección de credenciales

La empresa de inteligencia de amenazas Intel 471 calificó la plataforma como "extremadamente peligrosa", señalando que estaba vinculada a más de 64.000 incidentes de phishing.

Por su parte, la firma de seguridad Trend Micro estimó que la plataforma contaba con aproximadamente 2.000 usuarios activos, lo que explica el enorme volumen de ataques generados.

Sectores más atacados por Tycoon 2FA

Las campañas de phishing impulsadas por este kit atacaron prácticamente todos los sectores económicos, entre ellos:

• Educación
• Sanidad
• Finanzas
• Organizaciones sin ánimo de lucro
• Gobierno
• Empresas tecnológicas

Los correos de phishing enviados mediante Tycoon 2FA llegaban a más de 500.000 organizaciones cada mes, lo que demuestra la escala industrial del ataque.

Las páginas de phishing imitaban portales de autenticación de servicios ampliamente utilizados como:

• Microsoft 365
• OneDrive
• Outlook
• SharePoint
• Gmail

Cómo Tycoon 2FA lograba evadir la autenticación multifactor

Uno de los aspectos más preocupantes del kit era su capacidad para burlar sistemas MFA mediante ataques AiTM.

En lugar de atacar directamente el sistema de autenticación, Tycoon 2FA actuaba como un proxy intermediario entre la víctima y el servicio legítimo.

El proceso funcionaba de la siguiente manera:

• La víctima accedía a una página de phishing idéntica a la real.
• Introducía su usuario y contraseña.
• El sistema pedía el código MFA.
• El proxy enviaba esa información al servicio real.
• El atacante capturaba simultáneamente:

• credenciales
• cookies de sesión
• tokens de autenticación

Gracias a esta técnica, los ciberdelincuentes podían mantener acceso a la cuenta incluso después de que la víctima cambiara la contraseña, siempre que las sesiones activas no fueran revocadas.

Técnicas avanzadas para evitar la detección

Tycoon 2FA también integraba múltiples mecanismos para evadir herramientas de seguridad:

• Monitorización de pulsaciones de teclado
• Protección anti-bots
• Huella digital del navegador
• Ofuscación avanzada de código
• CAPTCHAs autoalojados
• JavaScript personalizado
• Páginas señuelo dinámicas

Además, la infraestructura utilizaba dominios de vida corta alojados en la red de Cloudflare.

Los dominios completamente cualificados (FQDN) solían permanecer activos entre 24 y 72 horas, lo que dificultaba su inclusión en listas negras de seguridad.

La técnica ATO Jumping: propagación desde cuentas comprometidas

Otra táctica utilizada por los operadores del kit fue el llamado ATO Jumping.

Según la empresa de seguridad Proofpoint, esta técnica consiste en utilizar una cuenta de correo comprometida para enviar nuevos correos de phishing a los contactos de la víctima.

Esto aumenta significativamente la probabilidad de éxito porque:

• los mensajes parecen legítimos
• provienen de un contacto de confianza
• contienen enlaces a nuevas páginas de phishing

El impacto real del phishing AiTM en las empresas

Los ataques basados en identidad están creciendo rápidamente. De acuerdo con datos de Proofpoint:

• 99 % de las organizaciones experimentaron intentos de toma de cuentas en 2025
• 67 % sufrió al menos una toma de cuenta exitosa
• 59 % de las cuentas comprometidas tenían MFA activado

Esto demuestra que los ataques AiTM pueden superar mecanismos de seguridad tradicionales, convirtiéndose en una de las amenazas más peligrosas para empresas y organizaciones.

El acceso al correo corporativo: el primer paso para ataques mayores

Los expertos advierten que comprometer una cuenta de correo empresarial suele ser el punto de partida para ataques más destructivos.

Una vez dentro de la infraestructura de una organización, los atacantes pueden:

• robar información confidencial
• lanzar campañas de fraude interno
• escalar privilegios
• desplegar ransomware
• exfiltrar datos sensibles

El desmantelamiento de Tycoon 2FA representa un golpe importante contra el ecosistema del phishing como servicio, pero los investigadores advierten que nuevos kits similares podrían aparecer rápidamente en la escena del cibercrimen.

Fuente: https://thehackernews.com/