Um e-mail bastou. Um funcionário clicou no que parecia ser um pedido de login rotineiro. Nos bastidores, atacantes roubaram credenciais, passaram pelos controles de segurança, disfarçaram-se de usuários confiáveis e tiveram acesso a sistemas críticos. Em outros casos, invasões semelhantes atrasaram salários, redirecionaram faturas, roubaram dados sensíveis, bloquearam redes inteiras, interromperam o atendimento ao paciente e pressionaram orçamentos já apertados em escolas e serviços críticos.

Esses ataques eram alimentados pelo Tycoon 2FA. Hoje, Microsoft, Europol e parceiros do setor anunciaram uma ação coordenada para interromper o serviço responsável por dezenas de milhões de e-mails fraudulentos que alcançam mais de 500 mil organizações a cada mês no mundo todo.

Interrompendo uma operação global de phishing

Ativo desde pelo menos 2023, o Tycoon 2FA permitiu que milhares de cibercriminosos se passassem por usuários reais e obtivessem acesso não autorizado a contas de e-mail e serviços online, incluindo Microsoft 365, Outlook e Gmail. Diferente dos kits tradicionais de phishing, o Tycoon 2FA foi projetado para derrotar proteções de segurança adicionais, incluindo autenticação multifator, permitindo que cibercriminosos façam login como usuários legítimos sem acionar alertas, mesmo em contas protegidas.

Agindo sob uma ordem judicial do Tribunal Distrital dos EUA para o Distrito Sul de Nova York, e pela primeira vez em coordenação com o Programa de Extensão de Inteligência Cibernética (CIEP, em inglês) da Europol, a Microsoft apreendeu 330 domínios ativos que alimentavam a infraestrutura central do Tycoon 2FA, incluindo painéis de controle e páginas de login fraudulentas. O programa CIEP reuniu parceiros do setor público e privado para avançar do simples compartilhamento de inteligência para uma ação coordenada e transfronteiriça, acelerando a disrupção e limitando danos adicionais. 

Tirar essa infraestrutura do ar corta um grande pipeline de apreensões de contas e ajuda a proteger pessoas e organizações contra ataques subsequentes, como roubo de dados, ransomware, comprometimento de e-mails empresariais e fraudes financeiras.

A escala e o impacto real do Tycoon 2FA

Em meados de 2025, o Tycoon 2FA representava aproximadamente 62% de todas as tentativas de phishing bloqueadas pela Microsoft, incluindo mais de 30 milhões de e-mails em um único mês. Isso colocou a Tycoon 2FA entre as maiores operações de phishing do mundo.

Apesar das defesas extensas, o serviço está ligado a cerca de 96 mil vítimas distintas de phishing em todo o mundo desde 2023, incluindo mais de 55 mil clientes da Microsoft.

As organizações de saúde e educação foram as mais afetadas. Mais de 100 membros do HealthISAC, um grupo global de compartilhamento de ameaças para o setor de saúde e coautor neste caso, foram alvo de phishing. Somente em Nova York, pelo menos dois hospitais, seis escolas municipais e três universidades enfrentaram tentativas ou compromissos bem-sucedidos por meio da Tycoon 2FA. Esses incidentes tiveram consequências tangíveis: operações interrompidas, desvio de recursos e atraso no atendimento ao paciente.  

Por que o Tycoon 2FA era tão perigoso

O Tycoon 2FA combinou modelos convincentes de phishing, landing pages realistas e captura em tempo real de credenciais e códigos de autenticação em um pacote fácil de usar que escalou rapidamente. Ao reduzir a barreira técnica de entrada, permitiu que criminosos com expertise limitada conduzissem campanhas sofisticadas de personificação.

Com cada vítima de phishing bem-sucedida, os atacantes poderiam operar com o mesmo nível de confiança que usuários legítimos, movendo-se lateralmente entre sistemas, acessando dados sensíveis e abusando das conexões de login sem levantar alarmes. Pesquisas do Microsoft Threat Intelligence fornecem mais detalhes sobre como a Tycoon 2FA operava.

Essa mudança reflete uma tendência no cibercrime: identidade, e não infraestrutura, tornou-se o alvo principal. Uma única conta comprometida agora pode desbloquear sistemas bancários, portais de saúde, aplicativos de trabalho e contas de redes sociais. 

Dentro da economia da falsificação de identidade

O Tycoon 2FA operava como um negócio dentro do ecossistema mais amplo de imitação mediante pagamento. O principal desenvolvedor, Saad Fridi, que acredita-se estar baseado no Paquistão, trabalhou ao lado de parceiros responsáveis por marketing, pagamentos e suporte técnico.

Cibercriminosos usavam o Tycoon 2FA junto com outros serviços ilícitos. Enquanto o Tycoon 2FA capturava credenciais e tokens de sessão, outras ferramentas cuidavam da entrega em massa de e-mails, distribuição de malware, hospedagem e monetização de acesso. Por exemplo, RedVDS, interrompido pela Microsoft em janeiro de 2026, forneceu computadores virtuais baratos, que cibercriminosos combinaram com o Tycoon 2FA para executar campanhas de phishing.  Juntos, esses diferentes serviços criaram um ecossistema interconectado para ataques baseados em identidade. Interromper um componente pode ter efeitos em cascata em toda a economia do cibercrime.

Pressão sustentada remodela o mercado

Nos últimos 18 meses, a Unidade de Crimes Digitais da Microsoft teve como alvo múltiplos serviços que permitem a usuparação e o acesso inicial, incluindo operações extensas de interrupção do Lumma Stealer, RaccoonO365, Fake ONNX (também conhecido como “Caffeine”), e do RedVDS.

Quando ferramentas amplamente usadas são interrompidas, os criminosos são forçados a se adaptar, muitas vezes migrando para alternativas como o Tycoon 2FA. Esse padrão de substituição mostra como a pressão sustentada impede que qualquer serviço individual permaneça dominante, ao mesmo tempo em que aumenta gradualmente o custo e o risco de cibercrime.

Esses esforços levaram a prisões no Egito e na Nigéria, interrupções completas de serviços, perda de infraestrutura e danos à reputação de operadores fora do alcance das forças de segurança. Só o RedVDS perdeu mais de 95% de sua infraestrutura desde janeiro de 2026, degradando significativamente sua capacidade de apoiar campanhas de usurpação em massa e outros golpes online. 

Com o aumento da pressão, muitos operadores apertaram os controles de acesso, recuaram para canais fechados ou desligaram completamente para evitar ações judiciais. No caso do Tycoon 2FA, a Microsoft não conseguiu adquirir acesso ao serviço. O operador rejeitou tentativas dos nossos investigadores, exigindo um intermediário confiável. Na verdade, o operador do Tycoon 2FA e o agora detido desenvolvedor do RaccoonO365 se comunicaram, destacando a interdependência do ecossistema e como as interrupções em uma área influenciam a atividade em outras áreas.

Ameaças globais exigem ação global

O cibercrime atua além das fronteiras, e uma resposta eficaz deve fazer o mesmo. A interrupção do Tycoon 2FA abrangeu múltiplas jurisdições, ressaltando por que a pressão contínua e coordenada é essencial, especialmente à medida que o cibercrime se torna mais escalável por meio da automação e IA.

O Microsoft Threat Intelligence, juntando-se a muitos pesquisadores de segurança, identificou o Tycoon 2FA como uma das ameaças mais significativas a ataques baseados em identidade. A Unidade de Crimes Digitais da Microsoft consultou a Europol, que também rastreou o ator com base em informações fornecidas pela TrendAI. Por meio do CIEP, a Europol reuniu parceiros para agir. A Microsoft trabalhou com parceiros da indústria para buscar uma disrupção coordenada da infraestrutura, enquanto autoridades policiais na Letônia, Lituânia, Portugal, Polônia, Espanha e Reino Unido realizaram apreensões de infraestrutura e outras medidas operacionais ligadas ao Tycoon 2FA.

Parceiros da indústria, incluindo Proofpoint, Intel 471, e eSentire, ampliaram a visibilidade por meio de telemetria, inteligência de ameaças e insights de fóruns criminais. A Cloudflare auxiliou ao derrubar infraestrutura fora da jurisdição dos EUA, enquanto HealthISAC mensurou os impactos nas organizações de saúde. A SpyCloud contribuiu com dados importantes de vitimologia, a Resecurity  facilitou o acesso ao Tycoon 2FA, e Coinbase ajudou a rastrear o movimento de fundos roubados. Finalmente, a Shadowserver Foundation apoiou com notificações para mais de 200 equipes de resposta a emergências computacionais ao redor do mundo, ajudando a limitar danos adicionais.

Nenhuma organização isolada poderia ter montado esse quadro completo trabalhando sozinha.

Sustentando a pressão coletivamente

Combater o cibercrime baseado em identidade exige ação entre indivíduos, organizações e governos. Além disso, defesas como autenticação multifator, análise de mensagens inesperadas, controles de sessão rigorosos e compartilhamento coordenado de ameaças reduzem riscos. A aplicação da lei antecipada também importa;  ela impede que pequenas intrusões escalem para danos sistêmicos. A Microsoft continuará aplicando as lições aprendidas com o Tycoon 2FA e as interrupções anteriores para fragmentar a economia da falsidade de identidade, limitar a escala e tornar o cibercrime mais arriscado e menos lucrativo.