Le 4 mars, une opération internationale (menée par Microsoft sur le plan technique) a pris en main une grande partie de l’infrastructure de Tycoon2FA. Au total, quelque 330 domaines ont été mis hors ligne, notamment des panneaux de contrôle et des pages de phishing utilisés lors d’attaques. Cette intervention a initialement entraîné un net recul. Selon la société de sécurité CrowdStrike, le nombre de campagnes de phishing a chuté les 4 et 5 mars à environ 25 % de son niveau habituel.
Mais cela n’a pas duré longtemps. Quelques jours plus tard, l’activité avait déjà retrouvé son niveau d’avant l’opération. Le nombre d’incidents liés à la compromission de comptes cloud a également remonté au niveau enregistré début 2026.
Le « phishing en tant que service » continue de se développer
Tycoon2FA n’est pas un inconnu dans le monde du cyberespace. La plateforme a fait son apparition il y a environ deux ans et propose le phishing en tant que service (PhaaS). Les cybercriminels peuvent y acheter des outils prêts à l’emploi pour attaquer, entre autres, des comptes Microsoft 365 et Gmail. Ce qui rend Tycoon2FA particulièrement dangereux, c’est l’utilisation de techniques dites « adversary-in-the-middle ». Celles-ci permettent aux attaquants de contourner même l’authentification à deux facteurs (2FA), pourtant l’une des mesures de sécurité les plus importantes pour les comptes.
Les créateurs de la plateforme continuent par ailleurs d’élargir activement leur offre. De nouvelles fonctionnalités et améliorations visent à maintenir son attrait auprès des clients du milieu de la cybercriminalité.
Des millions d’e-mails de hameçonnage chaque mois
L’ampleur des activités de Tycoon2FA est considérable. Microsoft a précédemment indiqué que cette plateforme était à l’origine d’environ 30 millions d’e-mails de phishing par mois. Elle serait ainsi responsable de 62 % de tous les e-mails de phishing bloqués par Microsoft. Selon CrowdStrike, Tycoon2FA utilise aujourd’hui encore en grande partie les mêmes techniques qu’avant l’intervention policière. La plateforme est utilisée pour diverses formes de cybercriminalité, telles que le business email compromise (BEC), le détournement de conversations par e-mail, la prise de contrôle de comptes cloud et la diffusion de liens SharePoint malveillants.
Après le démantèlement, les opérateurs se sont rapidement tournés vers une nouvelle infrastructure. De nouveaux domaines et adresses IP ont été enregistrés à un rythme effréné, tandis que certaines parties de l’ancienne infrastructure sont même restées actives. Cela indique que l’intervention des autorités n’a pas été totalement efficace. Dans leurs campagnes récentes, les attaquants utilisent notamment des liens raccourcis, des plateformes légitimes telles que des outils de présentation et des sites web piratés pour tromper leurs victimes. L’utilisation de pages d’hameçonnage générées par l’IA pour rendre les attaques de phishing plus crédibles est également frappante.
C’est comme essayer d’éponger avec le robinet ouvert
Une fois l’attaque réussie, les auteurs s’attachent souvent immédiatement à exploiter davantage cet accès. Ils créent ainsi des règles de filtrage pour la boîte de réception, mettent en place des dossiers cachés et préparent le terrain pour des fraudes par e-mail. Selon CrowdStrike, cet incident démontre surtout la résilience de ces réseaux. En l’absence d’arrestations ou de saisies physiques d’infrastructures, il est relativement facile pour les cybercriminels de redémarrer rapidement leurs activités. Tant que la demande de services de phishing restera forte, le jeu du chat et de la souris entre les services d’enquête et les cybercriminels est donc loin d’être terminé.
