TrendAI™ unterstützt weltweite Takedown-Operation von MFA-Bypass-Plattform Tycoon2FA
06.03.2026 | von Trend Micro (Schweiz) GmbH
Lesedauer: 5 Minuten
Bildrechte: Trend Micro Schweiz
06.03.2026, TrendAI™, ein Geschäftsbereich von Trend Micro, einem der weltweit führenden Anbieter von Cybersicherheitslösungen, war massgeblich an der weltweiten Zerschlagung von Tycoon2FA beteiligt. Die führende Phishing-as-a-Service-Plattform war darauf ausgelegt, Multi-Faktor-Authentifizierung zu umgehen und Kontoübernahmen im grossen Stil zu ermöglichen.
In Zusammenarbeit mit Europol und einem Verbund von Branchenpartnern – darunter Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel471, Microsoft, Proofpoint, Resecurity, Shadowserver und SpyCloud – lieferte TrendAI™ Threat Intelligence, Infrastruktur-Tracking und Täterattribution, die unmittelbar zur Strafverfolgung beitrugen.
Tycoon2FA tauchte erstmals im August 2023 als abonnementbasiertes Phishing-Toolkit auf, das auf Adversary-in-the-Middle-Techniken setzte. Die Plattform fing nicht nur Benutzernamen und Passwörter ab, sondern kaperte aktive Authentifizierungssitzungen, einschliesslich Anmeldedaten, Einmalpasswörtern und aktiver Session- Cookies, in Echtzeit. Diese Cookies liessen sich anschliessend wiederverwenden, um Zugang zu Konten zu erlangen und so MFA-Schutzmechanismen zu umgehen, auf die Unternehmen weltweit vertrauen.
Zum Zeitpunkt der Zerschlagung zählte Tycoon2FA rund 2.000 Nutzer und hatte seit dem Start mehr als 24.000 Domains eingesetzt. Die Kampagnen zielten primär auf Microsoft 365 und andere Cloud-Dienste ab.
Die Bedrohungsforscher von TrendAI™ beobachteten die Infrastruktur, Kampagnen und das Verhalten der Betreiber über einen längeren Zeitraum. Im November 2025 konnten die Forscher die Operation einem Akteur zuordnen, der unter den Pseudonymen SaaadFridi und Mr_Xaad agierte. Nach ihrer Einschätzung handelt es sich dabei um den Entwickler und Hauptbetreiber des Dienstes. Frühere Aktivitäten deuteten auf eine Vergangenheit im Bereich Web Defacement hin, bevor der Akteur zur grossangelegten Entwicklung von Phishing-Kits wechselte. Detaillierte Erkenntnisse zu eingesetzten Tools, Infrastrukturmustern und operativem Verhalten gab TrendAI™ an Europol weiter, um koordinierte Massnahmen zu ermöglichen.
„Das war keine einzelne Phishing-Kampagne. Es war ein industrialisierter Dienst, der MFA-Bypass für Tausende von Kriminellen zugänglich machte“, erklärt Robert McArdle, Director für Cybercrime Research bei TrendAI™. „Identität ist heute die primäre Angriffsfläche. Wenn Session Hijacking als Abo-Modell angeboten wird, verschiebt sich das Risiko von Einzelfällen hin zu systemischer Bedrohung.“
Phishing-as-a-Service-Plattformen wie Tycoon2FA werden oft als nachrangig gegenüber Ransomware betrachtet. In der Praxis dienen sie jedoch häufig als erstes Einfallstor. Zugangsdaten und aktive Session Tokens, die über Adversary-in-the-Middle-Kampagnen erbeutet werden, landen auf etablierten kriminellen Marktplätzen oder werden an Access Broker weitergegeben. Dieser Zugang lässt sich anschliessend durch Business E-Mail Compromise (BEC), Datendiebstahl oder Ransomware-Angriffe monetarisieren.
Durch die Senkung der technischen Einstiegshürde erweiterte Tycoon2FA den Kreis der Angreifer, die in der Lage sind, ausgefeilte identitätsbasierte Attacken durchzuführen. Die Zerschlagung bedeutet einen erheblichen Rückschlag für dieses Ökosystem, beseitigt jedoch nicht die grundlegende Bedrohung.
Die Takedown-Operation unterstreicht den Wert einer nachhaltigen Bedrohungsanalyse in Kombination mit branchenweiter Koordination. Phishing-Plattformen operieren grenzüberschreitend, setzen auf verteilte Infrastrukturen und bedienen Tausende krimineller Kunden. Keine einzelne Organisation hat vollständige Transparenz. Eine Zerschlagung in diesem Ausmass erfordert deshalb verwertbare Erkenntnisse und abgestimmtes Handeln.
TrendAI™ wird auch in Zukunft mögliche Versuche beobachten, den Dienst unter neuer Infrastruktur wiederaufzubauen oder umzubenennen, und unterstützt Folgeermittlungen gegen identifizierte Nutzer und Administratoren. Zuvor gestohlene Zugangsdaten und Session-Cookies könnten weiterhin im Umlauf sein, weshalb Wachsamkeit auch weiterhin wichtig ist.
Was Unternehmen jetzt tun sollten:
Die Zerschlagung unterstreicht eine klare Botschaft: MFA allein reicht gegen Adversary-in-the-Middle-Phishing nicht aus.
TrendAI™ empfiehlt Unternehmen folgende Massnahmen:
- - Phishing-resistente Authentifizierungsmechanismen einführen und strenge Conditional-Access-Richtlinien durchsetzen.
- - Erweiterte E-Mail- und Collaboration-Sicherheit implementieren, die Lateral Phishing und Unternehmens-Impersonation erkennt.
- - URL-Prüfung und Web-Content-Analyse in Echtzeit aktivieren, um gefälschte Login- Infrastrukturen zu identifizieren.
- - Identitätsrisiken kontinuierlich überwachen und bei anomalem Sitzungsverhalten schnelle Gegenmassnahmen einleiten.
- - Regelmässige Phishing-Simulationen und gezielte Security-Awareness-Trainings durchführen, um das Risiko durch menschliche Fehler zu reduzieren.
„Die Zerschlagung von Tycoon2FA zeigt, was möglich ist, wenn nicht nur beobachtet, sondern auch gehandelt wird“, ergänzt Robert McArdle von TrendAI™. „Wir werden die Akteure, die Infrastruktur und die Nutzer hinter diesen Diensten weiterverfolgen, um unsere Kunden zu schützen und die Kosten für den Betrieb im cyberkriminellen Ökosystem zu erhöhen.“
Weitere Informationen
Die vollständige Studie Europol, Microsoft, TrendAI™ and Collaborators
Halt Tycoon 2FA Operations finden Sie hier:
Pressestelle Trend Micro Schweiz
c/o BRAND AFFAIRS AG
Mischa Keller / MSc Business AdministrationPartner
Telefon: +41 44 254 80 00
E-Mail:
Mühlebachstrasse 8 / 8008 Zürich / Switzerland
--- ENDE Pressemitteilung TrendAI™ unterstützt weltweite Takedown-Operation von MFA-Bypass-Plattform Tycoon2FA ---
Hinweis der Redaktion: Die Bildrechte liegen beim jeweiligen Herausgeber. Bildrechte: Trend Micro Schweiz
Über Trend Micro (Schweiz) GmbH:
Trend Micro, ein weltweit führender Anbieter von Cybersicherheitslösungen, arbeitet daran, die Welt für den Austausch digitaler Informationen rundum sicher zu machen. Durch jahrzehntelange Erfahrung im Bereich Sicherheit, die Erforschung weltweiter Bedrohungen sowie ständige Innovation schützt die Trend Micro Plattform über 500.000 Organisationen und 250 Millionen Personen über Clouds, Netzwerke, Geräte und Endpunkte hinweg.
Unsere führende Plattform für Cybersicherheit in der Cloud und in Unternehmen bietet zentrale Transparenz für eine verbesserte sowie schnellere Erkennung und Reaktion. Darüber erhalten Kunden Zugang zu einer leistungsstarken Sammlung fortschrittlicher Techniken zur Bedrohungsabwehr, die für Umgebungen wie AWS, Microsoft und Google optimiert wurden.
Hinweis: Der Über-uns-Text stammt aus öffentlichen Quellen oder aus dem Firmenporträt auf HELP.ch.
Quellen:
Weitere Informationen und Links:
Ein Angebot von HELP.ch
Swiss-Press.com ist ein Angebot von www.help.ch und die spezialisierte Plattform für Pressemitteilungen aus der Schweiz. HELP.ch sorgt für hohe Reichweite, professionelle Veröffentlichung und maximale Sichtbarkeit Ihrer Unternehmensnews.
Medienpräsenz mit «Aktuelle News»: Nutzen Sie das Netzwerk von «Aktuelle News», um Ihre Presse- und Medienmitteilungen, Events und Unternehmensnews gezielt zu verbreiten.
Ihre Inhalte werden über News-Sites, Google, Social Media und Online-Portale einer breiten Öffentlichkeit zugänglich gemacht. Zum Netzwerk gehören führende Presseportale wie Aktuellenews.ch, News.help.ch, Swiss-Press.com und Tagesthemen.ch, Eventportale wie Eventkalender.ch und Swisskalender.ch sowie Online-TV-Plattformen wie Aktuellenews.tv und Handelsregister.tv. Insgesamt stehen über 30 Publikationskanäle zur Verfügung, um Ihre Mitteilungen optimal zu platzieren.