Europol démantèle Tycoon 2FA, la plus grosse plateforme de phishing au monde

Europol, Microsoft et plusieurs agences de six pays européens viennent de mettre hors service Tycoon 2FA, une plateforme de phishing vendue sur abonnement qui contournait la double authentification. 330 domaines ont été saisis, et le développeur principal a été identifié au Pakistan.

Une machine à phishing sur abonnement

Pour mieux vous poser le tableau, le Tycoon 2FA fonctionnait comme un service clé en main pour cybercriminels. Pour 120 dollars les dix jours ou 350 dollars par mois, n’importe qui pouvait accéder à un panneau de contrôle avec des pages de phishing prêtes à l’emploi, qui imitent les interfaces de connexion de Microsoft 365, Outlook, Gmail ou même SharePoint.

Le kit interceptait les sessions d’authentification en temps réel, ce qui permettait de contourner la double authentification sans que la victime ne se doute de quoi que ce soit. Depuis août 2023, la plateforme a généré des dizaines de millions de mails de phishing par mois. Microsoft estime en fait que Tycoon 2FA représentait à elle seule 62 % des tentatives de phishing bloquées mi-2025, c’est faramineux.

100 000 organisations touchées dans le monde

64 000 incidents de phishing ont été reliés à la plateforme, et près de 100 000 organisations ont été compromises à travers le monde, dont des hôpitaux, des écoles et des administrations publiques.

Les États-Unis arrivent en tête avec 179 000 victimes, suivis du Royaume-Uni, du Canada, de l’Inde et de la France avec 6 823 victimes identifiées. Si vous utilisez Microsoft 365 ou Outlook au quotidien, c’est le genre de kit qui ciblait directement vos identifiants. Le développeur principal, un certain Saad Fridi basé au Pakistan, a été identifié par Trend Micro dès novembre 2025 sous les pseudos “SaaadFridi” et “Mr_Xaad”.

L’opération a mobilisé les polices de six pays (Lettonie, Lituanie, Portugal, Pologne, Espagne et Royaume-Uni) sous la coordination du Centre européen de lutte contre la cybercriminalité d’Europol.

330 domaines saisis d’un coup

Microsoft a mené la partie technique en neutralisant 330 domaines qui servaient de pages de phishing et de panneaux de contrôle. Cloudflare, Coinbase, Intel 471, Proofpoint, SpyCloud et Trend Micro ont aussi participé à l’opération. La plateforme n’a toujours pas donné lieu à des arrestations à ce stade. Le développeur a été identifié, mais aucune interpellation n’a été annoncée.

Le fait que des boîtes privées comme Microsoft et Trend Micro travaillent main dans la main avec Europol est interessant, et ça produit des résultats. Mais 330 domaines saisis sur une infra qui en générait de nouveaux toutes les 24 à 72 heures, on peut se demander combien de temps ça va tenir.

La France est le cinquième pays le plus touché avec presque 7 000 victimes, et quand on sait que le phishing représente 43 % des cyberattaques déclarées par les entreprises françaises, ça donne une idée de l’ampleur du problème.

On espère que cette opération servira d’exemple, mais d’autres plateformes du même genre sont probablement déjà en train de prendre le relais.

Sources :
The Hacker News
,
Europol