Tycoon 2FA ten val: eSentire hielp miljoenenfraude te stoppen
In een gecoördineerde internationale operatie heeft Microsoft de infrastructuur van 'Tycoon 2FA' ontmanteld, een van de meest hardnekkige Phishing-as-a-Service (PhaaS) platforms ter wereld. De doorbraak is mede te danken aan de diepgaande inzet van eSentire, wiens Threat Response Unit (TRU) het netwerk al sinds de oprichting in 2023 nauwlettend in de gaten hield.
De uitschakeling markeert een overwinning in de strijd tegen zogenaamde Adversary-in-the-Middle (AiTM) aanvallen. Tycoon 2FA stelde cybercriminelen in staat om op grote schaal Multi-Factor Authenticatie (MFA) te omzeilen, sessie-cookies te stelen en bedrijfsaccounts binnen enkele minuten over te nemen.
De onmisbare rol van eSentire
Hoewel Microsoft de operatie leidde, fungeerde eSentire als een cruciale informatiebron. De onderzoekers van hun Threat Response Unit (TRU) trackten het platform al jaren. Uit hun data bleek hoe verwoestend Tycoon 2FA werkelijk was: in het afgelopen jaar was het platform verantwoordelijk voor maar liefst 32% van alle beveiligingsincidenten binnen de wereldwijde klantenkring van eSentire.
"Onze data toonden aan dat dreigingsactoren gemiddeld al binnen 14 minuten na de initiële inbreuk begonnen met het misbruiken van zakelijke accounts," aldus Spence Hutchinson, Staff Threat Intelligence Researcher bij eSentire. "Tycoon 2FA was de drijvende kracht achter een enorme golf van Business Email Compromise (BEC)-fraude."
Miljoenenfraude blootgelegd
De expertise van eSentire bleek ook essentieel bij incidenten buiten hun eigen klantenbestand. In 2025 werd het Digital Forensics and Incident Response-team ingeschakeld door een externe organisatie die slachtoffer was geworden van een miljoenenfraude via BEC. De TRU wist de oorsprong van deze aanval direct te herleiden naar een phishing-event van Tycoon 2FA dat bijna een maand eerder had plaatsgevonden.
In totaal identificeerde eSentire Tycoon 2FA als de toegangspoort in circa 18% van alle door hen verijdelde inbraken die gelinkt waren aan BEC-tactieken.
De techniek achter de phishing
Het succes van Tycoon 2FA zat in de verfijning. Het platform maakte gebruik van complexe anti-analysetechnieken om detectie door beveiligingssoftware te vermijden. eSentire publiceerde vorig jaar al gedetailleerde technische analyses over hoe het platform MFA-codes onderschepte, wat de basis legde voor de uiteindelijke interventie door Microsoft.
Waakzaamheid blijft geboden
Ondanks de succesvolle uitschakeling waarschuwt eSentire dat de strijd niet voorbij is. "Deze operatie verhoogt de drempel voor cybercriminelen aanzienlijk, maar de markt voor PhaaS-platforms is dynamisch," stelt het bedrijf. eSentire blijft daarom 24/7 monitoren op nieuwe infrastructuur die de leegte van Tycoon 2FA probeert op te vullen.
Voor IT-beheerders heeft eSentire specifieke detectierichtlijnen vrijgegeven, waaronder het monitoren van Entra ID-logs op specifieke User-Agent strings ("axios") en verdachte verbindingen vanuit bekende netwerken die voorheen door Tycoon werden gebruikt.
Meer over cybercrime
Over Witold Kepinski
