La piattaforma Tycoon2FA, una delle più note infrastrutture di phishing su scala globale, è riuscita a rimettersi in piedi dopo lo smantellamento coordinato da Microsoft e altre aziende con il supporto di Europol all’inizio di marzo 2026. Un’operazione che sembrava aver inferto un colpo durissimo, con il sequestro di ben 330 domini, compresi quelli usati per il pannello di controllo e le finte pagine di login. E invece, a distanza di appena venti giorni, l’intera infrastruttura era già di nuovo operativa, con livelli di attività paragonabili a quelli precedenti all’intervento delle forze dell’ordine.
Il problema non è solo la velocità con cui Tycoon2FA è riapparso. È che adesso è più difficile da abbattere e offre ai suoi clienti, perché parliamo a tutti gli effetti di una piattaforma Phishing as a Service (PaaS), strumenti ancora più sofisticati per colpire gli account Microsoft 365.
Come funziona il nuovo attacco device code
All’inizio di maggio 2026, Tycoon2FA ha rafforzato la propria resilienza introducendo sei livelli di offuscamento. Ma la novità più pericolosa è un’altra: l’aggiunta del supporto per gli attacchi cosiddetti device code phishing. Si tratta di una tecnica che sfrutta il meccanismo legittimo di autenticazione tramite codice dispositivo, quello che normalmente serve per collegare un nuovo device al proprio account.
Il meccanismo è tanto semplice quanto efficace. I cybercriminali inviano una richiesta di autorizzazione a Microsoft, che genera un codice. Questo codice viene poi inoltrato alla vittima, tipicamente attraverso una mail di phishing che si presenta come una fattura. Il link contenuto nel messaggio passa attraverso Trustifi, un servizio legittimo di sicurezza per le email, il che rende ancora più complicato per i filtri automatici intercettare la minaccia.
Dopo vari passaggi, la vittima finisce su una pagina fasulla che imita quella di Microsoft, completa di CAPTCHA per sembrare ancora più credibile. A quel punto viene chiesto di inserire il codice mostrato nella pagina direttamente su microsoft.com/devicelogin. Ed è qui che scatta la trappola: completando la procedura, compresa l’autenticazione multi fattore, la vittima autorizza in realtà il dispositivo dei criminali, che da quel momento hanno pieno controllo sull’account Microsoft 365.
Protezioni integrate e consigli per difendersi
Tycoon2FA non si limita a offrire tecniche di attacco sempre più affinate. La piattaforma include anche contromisure pensate per resistere alle analisi automatiche dei tool di sicurezza. Può rilevare sandbox, crawler basati su intelligenza artificiale e connessioni tramite VPN, rendendo molto più complicato per i ricercatori e le aziende di cybersecurity studiarne il funzionamento dall’interno.
Quello che rende Tycoon2FA particolarmente temibile è proprio questo mix: da un lato la capacità di tornare online in tempi rapidissimi dopo ogni azione di contrasto, dall’altro l’evoluzione costante delle tecniche di phishing messe a disposizione dei propri “abbonati”.
Per chi gestisce ambienti Microsoft 365, le precauzioni da adottare sono abbastanza chiare. Dove non strettamente necessario, è consigliabile disattivare l’autenticazione tramite codice dispositivo. In più, conviene limitare i permessi degli utenti e riservare i diritti di amministratore per l’installazione e la gestione delle app di terze parti. Piccoli accorgimenti che possono fare una differenza enorme quando dall’altra parte c’è un’infrastruttura costruita apposta per aggirare ogni difesa.
