Tycoon 2FA war über lange Zeit der mit Abstand größte Akteur im Markt für Phishing-as-a-Service. Nach Daten von Barracuda entfielen vor einem Jahr fast 90 Prozent aller PhaaS-Aktivitäten weltweit auf die Gruppe. Im Lauf dieses Jahres sank ihr Anteil auf knapp die Hälfte des Marktes, mit Mamba 2FA als nächstgrößtem Wettbewerber. Die anschließende Zerschlagung von 330 aktiven Domains drückte das Volumen von über neun Millionen auf gut zwei Millionen Angriffe pro Monat.
Ein einzelner Schlag reiche nicht aus, um eine derart große Operation vollständig zu beseitigen, sagt Merium Khalid, Director of SOC Offensive Security im Büro des Chief Technology Officers von Barracuda. Ausgeschaltet worden sei die laufende Operation, doch Infrastruktur, Taktiken, Techniken und der zugrunde liegende Code existierten weiter.
Während sich Tycoon 2FA von dem Schlag erholt, sind andere Gruppen in das Vakuum vorgestoßen. Die Angriffe von EvilProxy stiegen rund um den Zeitpunkt der Zerschlagung von knapp drei Millionen auf gut vier Millionen pro Monat, Sneaky 2FA von unter 700.000 auf fast zwei Millionen. Am stärksten profitierte jedoch der ehemals größte Konkurrent Mamba 2FA: von nahezu acht Millionen Angriffen pro Monat auf mehr als 15 Millionen – ein Anstieg um fast 100 Prozent innerhalb weniger Wochen.
Mit den abwandernden Akteuren wandern auch deren Kenntnisse. Werkzeuge, Code und Techniken von Tycoon 2FA befänden sich nun in den Händen von Wettbewerbern wie Mamba und EvilProxy, so Khalid; entsprechend seien künftig ausgefeiltere PhaaS-Angriffe zu erwarten.
Parallel dazu beobachten Forscher einen deutlichen Anstieg des sogenannten Device-Code-Phishings. Dabei bringen Angreifer ihre Opfer dazu, über den legitimen Anmeldevorgang eines Dienstes für neue Geräte den Zugriff auf ihre Konten preiszugeben. Selena Larson, Senior Threat Intelligence Analyst bei Proofpoint, stieß dabei auf eine Kampagne, die ein PDF mit einem Artefakt einer Tycoon-URL nutzte. Möglicherweise habe der Akteur lediglich PDFs wiederverwendet, die zuvor für das Tycoon-Credential-Phishing dienten, nun aber für eine Kontoübernahme per Device-Code mit dem Werkzeug EvilTokens.
Auch Barracuda fand einen solchen Fall: eine Device-Code-Phishing-Kampagne, die eine der ungewöhnlichsten Eigenheiten von Tycoon 2FA übernommen hatte – motivierende Kommentare, die im Quellcode für Rauschen sorgen.
Laut Proofpoint überschnitt sich die Zerschlagung von Tycoon 2FA zeitlich nahezu exakt mit dem starken Anstieg des Device-Code-Phishings. Die Technik sei nicht neu, sagt Larson, sei aber bis spät ins vergangene Jahr kaum verbreitet gewesen. Seit November/Dezember 2025 nehme sie moderat zu, und in den vergangenen drei bis vier Wochen sei sie von noch recht selten zu häufig beobachtet gewechselt; allein in den letzten zwei Wochen habe sich die Zahl klar erkennbarer Device-Code-Phishing-Kits deutlich erhöht.
Wie viel von Tycoons Nutzerbasis tatsächlich auf Device-Code umsteige, sei unklar, räumt Larson ein. Für sie ist die Entwicklung der nächste logische Schritt: Früher hätten Angreifer nur Benutzername und Passwort gesucht, woraufhin die Mehr-Faktor-Authentifizierung (MFA) eingeführt wurde; darauf reagierten die Täter mit MFA-Phishing-Kits. Nun, da mehr Menschen wüssten, dass MFA nicht zwangsläufig ausreichend schützt, seien OAuth- und Device-Code-Phishing die natürliche Weiterentwicklung.
