A volte basta un singolo clic per aprire la porta a un attacco informatico su larga scala. Un dipendente riceve una richiesta di accesso apparentemente legittima, magari un normale prompt di autenticazione per verificare l’identità. Dietro quella schermata, però, può nascondersi un sistema sofisticato progettato per catturare credenziali, intercettare codici di autenticazione e assumere l’identità digitale della vittima. Una volta ottenuto l’accesso, gli aggressori possono muoversi all’interno delle infrastrutture aziendali con lo stesso livello di fiducia di un utente autorizzato, consultando dati sensibili, manipolando comunicazioni interne o sfruttando i sistemi compromessi per attacchi successivi.

Molti di questi incidenti sono stati alimentati da Tycoon 2FA, un servizio clandestino di phishing che negli ultimi anni ha contribuito alla diffusione di decine di milioni di email fraudolente ogni mese. La piattaforma è stata recentemente colpita da un’operazione coordinata tra Microsoft, Europol e diversi partner del settore della sicurezza informatica, che hanno collaborato per interrompere una parte significativa dell’infrastruttura utilizzata dai cybercriminali.

Secondo le informazioni diffuse dagli investigatori, Tycoon 2FA era attivo almeno dal 2023 e permetteva a migliaia di attori malevoli di condurre campagne di impersonificazione su larga scala. L’obiettivo principale erano gli account di servizi di posta elettronica e piattaforme cloud, in particolare ambienti diffusi come Microsoft 365, Outlook e Gmail. A differenza dei tradizionali kit di phishing, questa piattaforma era progettata specificamente per aggirare sistemi di sicurezza avanzati, inclusa l’autenticazione multifattoriale. Grazie a tecniche di intercettazione in tempo reale delle sessioni di login, gli attaccanti potevano infatti autenticarsi come utenti legittimi senza generare immediatamente segnali di allarme nei sistemi di difesa.

Per contrastare questa attività, Microsoft ha ottenuto un ordine del tribunale federale del distretto meridionale di New York che ha consentito il sequestro di centinaia di domini collegati all’infrastruttura del servizio. In totale sono stati presi il controllo di circa 330 domini attivi, utilizzati per ospitare pannelli di amministrazione, pagine di login fraudolente e altri componenti operativi del sistema. L’operazione è stata condotta per la prima volta con il supporto del Cyber Intelligence Extension Programme di Europol, un’iniziativa pensata per trasformare la semplice condivisione di informazioni in azioni coordinate tra settore pubblico e privato.

Microsoft Tycoon 2FA

L’impatto di Tycoon 2FA era tutt’altro che marginale. A metà del 2025, la piattaforma risultava responsabile di circa il 62% dei tentativi di phishing bloccati dai sistemi di sicurezza Microsoft, con picchi superiori ai 30 milioni di email malevole in un singolo mese. Numeri di questa portata collocano il servizio tra le operazioni di phishing più vaste mai documentate negli ultimi anni.

Nonostante le misure di difesa adottate da molte organizzazioni, il sistema è stato collegato a circa 96.000 vittime confermate dal 2023 (più della metà di queste riguardava proprio utenti e clienti dell’ecosistema Microsoft). Le conseguenze hanno coinvolto diversi settori strategici, ma sanità e istruzione risultano tra i più colpiti. Numerose strutture sanitarie affiliate a Health-ISAC, un’organizzazione internazionale dedicata alla condivisione di informazioni sulle minacce nel settore medicale, hanno registrato compromissioni riuscite ma anche scuole e università sono state prese di mira, con episodi documentati di accesso non autorizzato a sistemi interni.

 

Gli effetti operativi di queste intrusioni non si limitano alla dimensione digitale. In alcuni casi le attività di phishing hanno infatti generato anche ritardi nelle operazioni amministrative, deviazioni di pagamenti, blocchi temporanei dei sistemi informatici e rallentamenti nei servizi destinati ai cittadini. Nel contesto sanitario, persino brevi interruzioni possono influire sull’erogazione delle cure, creando pressioni ulteriori su strutture già impegnate nella gestione quotidiana dei pazienti.

Il successo di Tycoon 2FA deriva in gran parte dal modo in cui il servizio è stato progettato e distribuito. Il sistema offriva template di phishing estremamente realistici, pagine di accesso che replicavano fedelmente le interfacce originali dei servizi bersaglio e strumenti in grado di catturare credenziali e token di autenticazione in tempo reale. Tutto questo era integrato in un pannello di controllo relativamente semplice da utilizzare, accessibile anche a criminali con competenze tecniche limitate. In sostanza, la piattaforma trasformava operazioni di impersonificazione complesse in un servizio facilmente replicabile.

Control-panel

Questo modello riflette una trasformazione più ampia nel panorama della criminalità informatica. L’obiettivo principale degli attacchi non è più necessariamente l’infrastruttura tecnologica in senso stretto, bensì l’identità digitale degli utenti. Un singolo account compromesso può aprire l’accesso a sistemi bancari, piattaforme di collaborazione aziendale, portali sanitari o account social. Di conseguenza, il furto di credenziali diventa una chiave universale per espandere l’attacco.

Tycoon 2FA operava inoltre come parte di un ecosistema criminale più ampio. Il presunto sviluppatore principale, Saad Fridi, ritenuto attivo dal Pakistan, collaborava con altri soggetti che si occupavano di marketing, assistenza tecnica e gestione dei pagamenti del servizio. Gli utenti della piattaforma la combinavano spesso con altre infrastrutture illegali come servizi per l’invio massivo di email, sistemi di hosting anonimo, piattaforme per la distribuzione di malware e strumenti per monetizzare gli accessi rubati.

Tra queste componenti figurava anche RedVDS, un servizio di hosting virtuale economico utilizzato per lanciare campagne di phishing su larga scala. L’interruzione di queste infrastrutture dimostra come la pressione coordinata sulle diverse parti dell’ecosistema possa generare effetti a catena, riducendo la capacità operativa dei gruppi criminali.

Negli ultimi diciotto mesi, le unità investigative di Microsoft dedicate ai crimini digitali hanno condotto diverse operazioni di disturbo anche contro servizi analoghi come Lumma Stealer, RaccoonO365 e Fake ONNX, conosciuto anche con il nome di Caffeine. Ogni intervento costringe gli attori malevoli a riorganizzare le proprie attività, spostarsi verso nuove piattaforme o ridurre temporaneamente la loro visibilità.