Dreigingsactoren zijn na de verstoring van het phishingplatform Tycoon 2FA overgestapt naar andere phishing-as-a-service (PhaaS) platforms en hergebruiken daarbij tools van Tycoon 2FA, meldt cybersecuritybedrijf Barracuda Networks. Tycoon 2FA, actief sinds ten minste 2023, stelt aanvallers in staat phishingaanvallen uit te voeren, tweefactorauthenticatie te omzeilen en gebruikersaccounts te compromitteren. Het platform is ingezet bij aanvallen op een half miljoen organisaties.

In 2025 was Tycoon 2FA verantwoordelijk voor 62% van de phishingpogingen die Microsoft observeerde en had het een marktaandeel van 89% binnen de PhaaS-markt, aldus Barracuda. Begin maart leidde een gecoördineerde actie tot de inbeslagname van 330 actieve Tycoon 2FA-domeinen, maar de operaties van het platform leken hierdoor nauwelijks te worden beïnvloed. Uit het recente Barracuda-rapport blijkt echter dat Tycoon 2FA zijn koppositie verloor doordat dreigingsactoren zijn overgestapt naar andere platforms zoals Mamba 2FA, EvilProxy en Sneaky 2FA.

Het totale aantal aanvallen met deze vier phishingkits is na de verstoring gestegen van ongeveer 20 miljoen naar meer dan 23 miljoen. Tycoon 2FA staat nu duidelijk achter Mamba en EvilProxy wat betreft detecties door Barracuda. Hoewel Tycoon 2FA een klap heeft gekregen, bleef het onderliggende ecosysteem bestaan en hebben andere phishingkits hun infrastructuur verbeterd en uitgebreid met tools die eerder door Tycoon werden gebruikt.

Barracuda benadrukt dat Tycoon 2FA veelvuldig werd gebruikt door onafhankelijke affiliates, waardoor varianten van de aanvalscode blijven circuleren. Ook blijven zelfstandig gehoste versies actief en vinden er verspreide, kleinschalige campagnes plaats. PhaaS-toolsets lijken steeds meer op open source software, waarbij dreigingsactoren code hergebruiken, aanpassen en opnieuw inzetten. Dit, gecombineerd met overgebleven infrastructuur en ingebouwde redundantie, maakt phishingkits robuuster en moeilijker te detecteren en te bestrijden.

Volgens Barracuda weerspiegelt deze situatie een diversificatie van het ecosysteem, waarbij Tycoon 2FA wordt verspreid over meerdere platforms in plaats van volledig te worden hersteld. Dit betekent niet dat de inbeslagnameactie mislukt is, maar toont aan wat er gebeurt bij verstoring van een volwassen ondergrondse economie en waarom beveiligingsmaatregelen breder moeten kijken dan individuele spelers.