Bereits Ende April wurde Tycoon2FA in einer Kampagne beobachtet, die den OAuth-2.0-Flow zur Geräteautorisierung (Device Authorization Grant) missbrauchte, um Microsoft-365-Konten zu kompromittieren – ein Hinweis darauf, dass der Betreiber das Kit kontinuierlich weiterentwickelt.
eSentire beschreibt den Ablauf so: Der Angriff beginnt, wenn ein Opfer in einer Köder-E-Mail eine Trustifi-Tracking-URL anklickt, und gipfelt darin, dass das Opfer einem vom Angreifer kontrollierten Gerät über Microsofts legitimen Geräte-Login unter microsoft.com/devicelogin unwissentlich OAuth-Token erteilt. Zwischen beiden Endpunkten liege eine vierstufige, im Browser ablaufende Auslieferungskette, deren Vorgehen gegenüber der im April 2025 dokumentierten Credential-Relay-Variante und der nach der Zerschlagung im April 2026 dokumentierten Variante nahezu unverändert sei.
Trustifi ist eine legitime E-Mail-Sicherheitsplattform, deren Werkzeuge in verschiedene E-Mail-Dienste eingebunden sind, darunter Angebote von Microsoft und Google. Wie die Angreifer dazu kamen, Trustifi zu nutzen, ist eSentire nach eigenen Angaben nicht bekannt.
Den Forschern zufolge setzt der Angriff auf eine als Rechnung getarnte Phishing-E-Mail mit einer Trustifi-Tracking-URL. Diese leitet über Trustifi, Cloudflare Workers und mehrere verschleierte JavaScript-Schichten weiter, bis das Opfer auf einer gefälschten Microsoft-CAPTCHA-Seite landet. Die Phishing-Seite ruft einen Microsoft-OAuth-Gerätecode vom Backend des Angreifers ab und fordert das Opfer auf, ihn auf microsoft.com/devicelogin einzugeben; anschließend schließt das Opfer die Multi-Faktor-Authentifizierung (MFA) ab. Danach stellt Microsoft Zugriffs- und Refresh-Token an das vom Angreifer kontrollierte Gerät aus.
Das Kit verfügt über umfangreiche Schutzmechanismen gegen Forscher und automatisierte Scans: Es erkennt Selenium, Puppeteer, Playwright und Burp Suite, blockiert Sicherheitsanbieter, VPNs, Sandboxes, KI-Crawler und Cloud-Anbieter und setzt Debugger-Timing-Fallen ein. Anfragen von Geräten, die auf eine Analyseumgebung hindeuten, werden laut eSentire automatisch auf eine legitime Microsoft-Seite umgeleitet. Die Sperrliste des Kits enthält derzeit 230 Anbieternamen und wird fortlaufend aktualisiert.
Als Gegenmaßnahmen empfiehlt eSentire, den OAuth-Device-Code-Flow zu deaktivieren, wenn er nicht benötigt wird, OAuth-Zustimmungsrechte einzuschränken, für Drittanbieter-Apps eine Admin-Freigabe zu verlangen, Continuous Access Evaluation (CAE) zu aktivieren und Richtlinien für konforme Gerätezugriffe durchzusetzen. Zusätzlich raten die Forscher, Entra-Protokolle auf deviceCode-Authentifizierungen, die Nutzung des Microsoft Authentication Broker sowie Node.js-User-Agents zu überwachen. Zur Unterstützung der Verteidiger hat eSentire einen Satz Kompromittierungsindikatoren (IoCs) zu den jüngsten Tycoon2FA-Angriffen veröffentlicht.
