Το Tycoon2FA επιστρέφει με device-code phishing κατά Microsoft 365

Το Tycoon2FA, ένα από τα πιο εκτεταμένα Phishing-as-a-Service (PhaaS) kits που έχουν καταγραφεί, εντοπίστηκε σε νέα εκστρατεία τέλη Απριλίου 2026 — μόλις έξι εβδομάδες μετά τη συντονισμένη επιχείρηση κατάρριψής του. Η Μονάδα Αντιμετώπισης Απειλών (TRU) της eSentire ανέλυσε εκστρατεία phishing που συνδυάζει δύο τάσεις: τη συνεχή λειτουργία του Tycoon 2FA παρά την κατάρριψη του Μαρτίου 2026 — που συντονίστηκε από τη Microsoft και την Europol — και τη στροφή προς κατάχρηση ροών OAuth Device Authorization Grant για παραβίαση λογαριασμών Microsoft 365.

Τι είναι το device-code phishing και γιατί είναι επικίνδυνο

Το device-code phishing είναι ένας τύπος επίθεσης στον οποίο οι κακόβουλοι φορείς αποστέλλουν αίτημα εξουσιοδότησης συσκευής στον πάροχο της υπηρεσίας-στόχου και προωθούν τον παραγόμενο κωδικό στο θύμα, εξαπατώντας το να τον εισάγει στη νόμιμη σελίδα σύνδεσης της υπηρεσίας. Το αποτέλεσμα είναι κρίσιμο: συνδυάζοντας τη γνωστή υποδομή phishing με την κατάχρηση OAuth Device Code, οι επιτιθέμενοι μπορούν πλέον να αποκτήσουν πρόσβαση σε λογαριασμούς Microsoft 365 χωρίς να καταγράψουν ούτε έναν κωδικό πρόσβασης.

Ο OAuth client που υποδύεται ο επιτιθέμενος είναι το Microsoft Authentication Broker (AppId: 29d9ed98-a469-4536-ade2-f981bc1d605e), μια πρωτογενής εφαρμογή Microsoft που μεσολαβεί για tokens σε Exchange Online, Microsoft Graph και OneDrive for Business. Μία επιτυχής συναίνεση αποδίδει ενεργά tokens για ολόκληρη την επιφάνεια του Microsoft 365, ενώ εμφανίζεται στην τηλεμετρία Entra ως κανονική εφαρμογή Microsoft.

Η αλυσίδα επίθεσης βήμα προς βήμα

Η επίθεση ξεκινά όταν το θύμα κάνει κλικ σε ένα URL παρακολούθησης κλικ της Trustifi μέσα σε ένα δόλωμα ηλεκτρονικού ταχυδρομείου και καταλήγει στο θύμα να παραχωρεί άθελά του OAuth tokens σε μια συσκευή ελεγχόμενη από τον επιτιθέμενο, μέσω της νόμιμης ροής σύνδεσης συσκευής της Microsoft στο microsoft.com/devicelogin. Η Trustifi είναι νόμιμη πλατφόρμα ασφάλειας email — η χρήση της νόμιμης υπηρεσίας παρακολούθησης κλικ της αυξάνει την αξιοπιστία του κακόβουλου συνδέσμου.

Στην επίθεση αυτή, τα θύματα βλέπουν ένα δόλωμα ειδοποίησης τηλεφωνητή Microsoft 365. Τους ζητείται να αντιγράψουν έναν κωδικό χρήστη και να επισκεφθούν την πραγματική σελίδα σύνδεσης συσκευής της Microsoft στο microsoft.com/devicelogin. Ενδιάμεσα, παρουσιάζεται στο θύμα μια ψεύτικη σελίδα CAPTCHA με τη μορφή Microsoft, διαμορφωμένη με τα τέσσερα χρώματα του λογότυπου, που εμφανίζεται ως widget "HumanCheck" το οποίο απαιτεί ένα μόνο κλικ για να περάσει.

Η δραστηριότητα polling του χειριστή προήλθε από το AS45102 (Alibaba Cloud) με strings user-agent "node" και "undici" — υπογραφές βιβλιοθήκης HTTP Node.js, διαφορετικές από το fingerprint axios/1.x που είχε τεκμηριωθεί σε προηγούμενες αναφορές Tycoon 2FA. Το AS45102 έχει παρατηρηθεί σε αμφότερες τις παραλλαγές του kit από τις 10 Απριλίου 2026 περίπου.

Ιστορικό: Κατάρριψη και ταχεία επιστροφή

Η Microsoft, επικεφαλής της επιχείρησης μαζί με την Europol και αρχές έξι χωρών και 11 εταιρείες ασφαλείας, κατάσχεσε 330 τομείς που τροφοδοτούσαν την κεντρική υποδομή του Tycoon 2FA. Η πλατφόρμα, που εμφανίστηκε τον Αύγουστο 2023, ήταν υπεύθυνη για δεκάδες εκατομμύρια μηνύματα phishing που έφταναν σε πάνω από 500.000 οργανισμούς παγκοσμίως κάθε μήνα.

Η κλίμακα της ζημιάς πριν την κατάρριψη ήταν τεράστια. Η πλατφόρμα αντιστοιχούσε στο 62% των απόπειρων phishing που απέκλεισε η Microsoft μέχρι τα μέσα του 2025, συνδεόμενη με 96.000 θύματα — εκ των οποίων 55.000 ήταν πελάτες Microsoft — με ιδιαίτερα σκληρές επιπτώσεις στους κλάδους υγείας και εκπαίδευσης. Η μηνιαία αποστολή κακόβουλων μηνυμάτων που αποδίδεται στο Tycoon 2FA έφτασε στο αποκορύφωμά της με πάνω από 30 εκατομμύρια μηνύματα τον Νοέμβριο 2025.

Παρά τη διεθνή επιχείρηση επιβολής του νόμου που διέκοψε την πλατφόρμα phishing τον Μάρτιο, η κακόβουλη επιχείρηση αναδομήθηκε σε νέα υποδομή και επέστρεψε γρήγορα σε κανονικά επίπεδα δραστηριότητας. Στις αρχές Μαΐου, η Abnormal Security επιβεβαίωσε ότι το Tycoon2FA είχε ανακάμψει και μάλιστα πρόσθεσε νέα επίπεδα συσκότισης για να ενισχύσει την ανθεκτικότητά του.

Πώς παρακάμπτεται το MFA

Η παλαιότερη τεχνική του Tycoon2FA βασιζόταν σε αρχιτεκτονική adversary-in-the-middle (AiTM). Σε αντίθεση με τα παραδοσιακά kits phishing που απλώς υποκλέπτουν στατικούς κωδικούς, το Tycoon 2FA μετέδιδε σε πραγματικό χρόνο τα αιτήματα ελέγχου ταυτότητας για να καταγράψει ζωντανά session tokens και cookies — παρεμβαίνοντας ώστε να κληρονομεί μια πλήρως πιστοποιημένη συνεδρία, καθιστώντας άχρηστα τα SMS, τις εφαρμογές authenticator και τις ειδοποιήσεις push.

Η νέα παραλλαγή device-code είναι ακόμα πιο επικίνδυνη: δεν εξαρτάται πλέον από την υποκλοπή σύνδεσης σε πραγματικό χρόνο, αλλά εκμεταλλεύεται τη νόμιμη ροή εξουσιοδότησης της Microsoft. Η συνδρομή στην υπηρεσία ξεκινούσε από μόλις 120 δολάρια, καθιστώντας την προσβάσιμη σε χειριστές κάθε επιπέδου τεχνογνωσίας.

Ευρύτερη τάση: device-code phishing εκτοξεύεται

Το Tycoon2FA δεν είναι μόνο του. Ενώ το device-code phishing δεν είναι νέα τεχνική, η Proofpoint παρατήρησε απότομη αύξηση της χρήσης του τον Σεπτέμβριο 2025, με εκστρατείες ασυνήθιστα μεγάλης κλίμακας που αξιοποιούσαν QR codes, ενσωματωμένα κουμπιά ή συνδέσμους hyperlink. Κρατικά συνδεδεμένοι φορείς, ιδίως ρωσικής προέλευσης, υιοθέτησαν επίσης την τεχνική ως μέρος μιας ευρύτερης στροφής προς phishing χωρίς κωδικό πρόσβασης.

Σύμφωνα με τη Microsoft, μεταξύ 23 και 25 Φεβρουαρίου 2026, μία μεγάλη, εκτεταμένη εκστρατεία απέστειλε πάνω από 1,2 εκατομμύρια μηνύματα σε χρήστες από πάνω από 53.000 οργανισμούς σε 23 χώρες.

Τι πρέπει να κάνουν οι οργανισμοί

Η eSentire δημοσίευσε σύνολο δεικτών παραβίασης (IoCs) για τις τελευταίες επιθέσεις Tycoon2FA για να βοηθήσει τους υπεύθυνους άμυνας να προστατεύσουν τα περιβάλλοντά τους. Οι βασικές αμυντικές συστάσεις περιλαμβάνουν:

• Απενεργοποίηση ή αυστηρός περιορισμός της ροής OAuth Device Authorization Grant στο Entra ID για χρήστες που δεν τη χρειάζονται.
• Παρακολούθηση για user-agent strings axios/* (παραλλαγή credential-relay) και undici|node (παραλλαγή device-code) στα logs της υποδομής.
• Εκπαίδευση των χρηστών να μην εισάγουν ποτέ device codes που λαμβάνουν από μη αξιόπιστες πηγές.
• Χρήση Conditional Access policies που απαιτούν συμμόρφωση συσκευής, ώστε OAuth tokens από μη εγγεγραμμένες συσκευές να μην έχουν αξία.

Πηγές

• BleepingComputer — Tycoon2FA hijacks Microsoft 365 accounts via device-code phishing
• eSentire TRU — Tycoon 2FA Operators Adopt OAuth Device Code Phishing
• Microsoft Security Blog — Inside Tycoon2FA: How a leading AiTM phishing kit operated at scale
• Cloudflare Threat Intelligence — Tycoon 2FA Takedown Report
• Infosecurity Magazine — OAuth Device Code Phishing Campaigns Surge