Amsterdam,
5 maart 2026 – TrendAI™, de enterprise AI-beveiligingsoplossing van
Trend Micro Incorporated, heeft een
sleutelrol gespeeld in de wereldwijde ontmanteling van Tycoon 2FA, een
phishing-as-a-serviceplatform dat is ontworpen om
multifactorauthenticatie te omzeilen en grootschalige accountinbreuken
mogelijk te maken.
In
samenwerking met Europol en een coalitie van branchepartners, waaronder
Cloudflare, Coinbase, Crowell, eSentire, Health-SAC, Intel471, Microsoft,
Proofpoint, Resecurity, Shadowserver en SpyCloud, leverde TrendAI™
dreigingsinformatie, infrastructuurmonitoring en identificatie van de
daders. Deze informatie droeg direct bij aan de actie van
handhavingsinstanties.
Wat
is Tycoon 2FA?
Tycoon
2FA verscheen in augustus 2023 als een op abonnementengebaseerde
phishingtoolkit, gebouwd rond adversary-in-the-middle-technieken. In
plaats van simpelweg gebruikersnamen en wachtwoorden te verzamelen,
onderschepte het platform live authenticatiesessies en legde het
inloggegevens, eenmalige toegangscodes en actieve sessiecookies in
real-time vast. Deze sessiecookies konden vervolgens opnieuw worden
gebruikt om toegang te krijgen tot accounts, waardoor MFA-beveiliging
omzeild kon worden.
Ten tijde
van de ontmanteling had Tycoon 2FA ongeveer 2.000 gebruikers. Sinds de
lancering zijn meer dan 24.000 domeinen gebruikt. De campagnes richtten
zich voornamelijk op Microsoft 365 en andere clouddiensten.
Onderzoekers
van TrendAI™ hebben de infrastructuur, campagnes en het gedrag van de
beheerders van het platform voor langere tijd gevolgd. In november 2025
hebben de onderzoekers de operatie kunnen koppelen aan een actor die de
schuilnaam SaaadFridi en MrXaac gebruikte. Deze actor wordt beschouwd als
de ontwikkelaar en belangrijkste beheerder van de dienst. Historische
gegevens toonden aan dat de actor zich eerder bezighield met het
beschadigen van websites. Gedetailleerde informatie over de gebruikte tools,
infrastructuurpatronen en het operationele gedrag werden vervolgens
gedeeld met Europol ter ondersteuning van de actie.
“Dit was
geen op zichzelf staande phishingcampagne. Het was een
geïndustrialiseerde dienst die is ontwikkeld om MFA-bypass toegankelijk
te maken voor duizenden criminelen”, aldus Robert McArdle, directeur
Cybercrime Research bij TrendAI™. “Identiteit is nu het belangrijkste
aanvalsoppervlak. Wanneer inlogsessies kunnen worden verpakt en verkocht
als abonnement, verschuift het risico van geïsoleerde incidenten naar
systemische kwetsbaarheid.”
De
impact van phishing-as-a-service
Phishing-as-a-service-platforms
zoals Tycoon 2FA worden vaak gezien als een minder grote dreiging ten
opzichte van ransomware. In de praktijk fungeren ze echter vaak als
toegangspunt. Inloggegevens en actieve sessietokens die via
adversay-in-the-middle-aanvallen worden verkregen, worden doorverkocht op
cybercriminele marktplaatsen of doorgegeven aan toegangsbrokers. Die
toegang kan vervolgens worden gebruikt voor het compromitteren van
zakelijke e-mail, datadiefstal of de inzet van ransomware.
Door de
technische drempel te verlagen, stelt Tycoon 2FA aanvallers in staat om
geavanceerde identiteitsgebaseerde aanvallen uit te voeren. De actie
tegen Tycoon 2FA is een aanzienlijke tegenslag voor het ecosysteem, maar
het elimineert de dreiging niet.
Deze
operatie onderstreept het belang van continue informatievergaring in
combinatie met sectoroverschrijdende actie. Phishingplatforms opereren
over grenzen heen, maken gebruik van gedistribueerde infrastructuur en
bedienen duizenden criminele klanten. Geen enkele organisatie heeft hier
volledig inzicht in. Een verstoring op deze schaal vereist bruikbare
inlichtingen en een gecoördineerde aanpak.
TrendAI™
blijft toezicht houden op pogingen om de dienst opnieuw op te bouwen of
een nieuwe merknaam te geven onder een nieuwe infrastructuur. Ook
ondersteunt het vervolgonderzoek naar geïdentificeerde gebruikers en
beheerders.
Wat
kunnen organisaties nu doen?
Eerder
gestolen inloggegevens en sessiecookies kunnen nog steeds in omloop zijn.
Organisaties moeten daarom waakzaam blijven en, waar nodig, hun
verdediging versterken. MFA alleen is niet voldoende tegen dit soort
adversary-in-the-middle-phishing. TrendAI™ adviseert organisaties om de
volgende acties te ondernemen:
- Implementeer
phishingbestendige authenticatiemechanismen en handhaaf strikte
toegangsbeperkingen.
- Implementeer
geavanceerde e-mailbeveiliging en beveiliging voor
samenwerkingssoftware die laterale phishing en merkimitatie kan
detecteren.
- Schakel
real-time URL-inspectie en webcontentanalyse in om nep-inlogpogingen
te identificeren.
- Monitor
identiteitsrisico’s continu en onderneem snel actie wanneer
afwijkend sessiegedrag wordt gedetecteerd.
- Voer
regelmatig phishing-simulaties en gerichte trainingen uit om het
beveiligingsbewustzijn te vergroten.
“De
uitschakeling van Tycoon 2FA laat zien wat mogelijk is wanneer er
gezamenlijke actie wordt ondernomen op basis van onderbouwde en
duidelijke informatie”, aldus Robert McArdle. “We zullen de actoren,
infrastructuur en gebruikers achter deze diensten blijven volgen om onze
klanten te beschermen en de operationele kosten van dit ecosysteem te
verhogen.”
Download hier het rapport over de
gezamenlijke actie van Europol, Microsoft, TrendAI™ en andere partners
tegen Tycoon 2FA.
Over TrendAI
TrendAI™,
een businessunit van Trend Micro™ en een wereldwijde leider op het gebied
van AI-beveiliging, maakt de wereld veiliger voor de digitale
uitwisseling van informatie tussen bedrijven, overheden en organisaties.
TrendAI™ wordt gedreven door security-expertise en innovatie en
gebruikt kunstmatige intelligentie om meer dan 500.000 bedrijven en
miljoenen individuen te beschermen op het gebied van AI, cloud,
netwerken, endpoints en apparaten. AI Fearlessly.
TrendMicro.com
Voor meer informatie
TrendAI
Ilona van Ginkel
E-mail:
ilona_van_ginkel@trendmicro.com
Whizpr
Paul Maris / Martine Korthals
E-mail:
trendmicro@whizpr.nl
Uitschrijven