Das Administrationspanel diente als zentrale Schaltstelle, über die Angreifer ihre Kampagnen konfigurieren, verfolgen und verfeinern konnten. Es bot vorgefertigte Vorlagen, Anhangsdateien für gängige Köderformate, Domain- und Hosting-Einstellungen, Weiterleitungslogik sowie eine Opferverfolgung. Betroffene Zugangsdaten, MFA-Codes und Session-Cookies ließen sich direkt im Panel herunterladen oder zur nahezu in Echtzeit erfolgenden Überwachung an Telegram weiterleiten.
Intel 471 stufte Tycoon 2FA als “gefährlich” ein und verband den Baukasten mit über 64.000 Phishing-Vorfällen und zehntausenden Domains, über die monatlich zig Millionen Phishing-Mails verschickt wurden. Microsoft, das die Betreiber unter dem Namen Storm-1747 verfolgt, bezeichnete Tycoon 2FA als die im Jahr 2025 am häufigsten beobachtete Plattform des Unternehmens und blockierte im Oktober 2025 mehr als 13 Millionen schädliche E-Mails, die mit dem Dienst in Verbindung standen.
Nach Microsofts Angaben entfielen bis Mitte 2025 rund 62 Prozent aller vom Unternehmen blockierten Phishing-Versuche auf Tycoon 2FA, darunter mehr als 30 Millionen E-Mails in einem einzigen Monat. Seit 2023 sei der Dienst mit schätzungsweise 96.000 verschiedenen Phishing-Opfern weltweit verknüpft, darunter mehr als 55.000 Microsoft-Kunden. Die große Mehrheit der angegriffenen Konten sei unternehmensverwaltet oder mit kostenpflichtigen Domains verbunden gewesen – ein Hinweis darauf, dass sich Tycoon 2FA vorrangig gegen Geschäftsumgebungen richtete.
Proofpoint zufolge verursachte Tycoon 2FA das höchste Aufkommen an AitM-Phishing-Bedrohungen; allein im Februar 2026 beobachtete das Unternehmen über drei Millionen zugehörige Nachrichten. Trend Micro, einer der beteiligten Partner aus der Privatwirtschaft, bezifferte die Nutzerzahl der Plattform auf etwa 2.000. Die Kampagnen trafen nahezu alle Branchen, darunter Bildung, Gesundheitswesen, Finanzen, gemeinnützige Organisationen und Behörden; monatlich erreichten die Mails über 500.000 Organisationen weltweit.
Laut Microsoft konnten Angreifer mit der Plattform vertrauenswürdige Marken imitieren, indem sie Anmeldeseiten von Diensten wie Microsoft 365, OneDrive, Outlook, SharePoint und Gmail nachahmten. Der Dienst fing während des Authentifizierungsvorgangs Session-Cookies ab und erfasste gleichzeitig die Zugangsdaten; die MFA-Codes wurden über Proxy-Server an den eigentlichen Dienst weitergereicht. Dadurch behielten Täter selbst nach einem Passwort-Reset Zugriff, sofern aktive Sitzungen und Token nicht ausdrücklich widerrufen wurden.
Um einer Erkennung zu entgehen, setzte der Baukasten unter anderem auf Tastatureingaben-Überwachung, Anti-Bot-Prüfungen, Browser-Fingerprinting, starke Code-Verschleierung, selbst gehostete CAPTCHAs, eigenes JavaScript und dynamische Täuschungsseiten. Die Infrastruktur lief über Cloudflare, mit kurzlebigen vollständig qualifizierten Domainnamen (FQDNs), die oft nur 24 bis 72 Stunden bestanden – ein bewusster Schritt, um zuverlässige Sperrlisten zu verhindern.
Zusätzlich nutzten Kunden eine als ATO Jumping bezeichnete Technik: Ein bereits kompromittiertes E-Mail-Konto verteilt weitere Tycoon-2FA-Links. So wirkten die E-Mails laut Proofpoint, als kämen sie tatsächlich von einem vertrauenswürdigen Kontakt, was die Erfolgsaussichten erhöhte. Selena Larson, Threat-Researcherin bei Proofpoint, erklärte, 2025 hätten 99 Prozent der Organisationen Versuche einer Kontoübernahme erlebt, 67 Prozent eine erfolgreiche; bei 59 Prozent der übernommenen Konten sei MFA aktiviert gewesen. Nicht alle dieser Angriffe stünden im Zusammenhang mit Tycoon 2FA, doch zeige sich darin die Wirkung von AitM-Phishing auf Unternehmen.
