Nach der Aktion der Strafverfolger sank das Volumen der Tycoon2FA-Kampagnen zunächst spürbar. „Falcon Complete beobachtete nach der Zerschlagung einen kurzfristigen Rückgang des Kampagnenvolumens, wobei die täglichen Mengen am 4. und 5. März 2026 auf 25 Prozent des Niveaus vor der Störung fielen“, heißt es im Bericht von CrowdStrike. Anschließend kehrte das Volumen jedoch auf das frühere Niveau zurück: Die täglichen aktiven Bereinigungen kompromittierter Cloud-Konten erreichten demnach wieder die Werte von Anfang 2026.
Tycoon2FA wurde vor rund zwei Jahren erstmals von Sekoia dokumentiert. Die Plattform trat als auf Microsoft 365 und Gmail spezialisierter Phishing-as-a-Service-Dienst in Erscheinung. Einen Monat später meldete Trustwave, dass die Betreiber den Dienst aktiv weiterentwickelten, neue und fortgeschrittene Funktionen ergänzten und gezielt weitere Kriminelle als Kunden anwarben.
Laut CrowdStrike ist Tycoon2FA mit weitgehend unveränderten Techniken, Taktiken und Vorgehensweisen zurück im Geschäft. Der Dienst unterstützt ein breites Spektrum illegaler Aktivitäten, darunter Business E-Mail Compromise (BEC), das Kapern von E-Mail-Verläufen, die Übernahme von Cloud-Konten und schädliche SharePoint-Links.
Nach der Zerschlagung kam Tycoon2FA in E-Mail-Kampagnen zum Einsatz, die auf bösartige URLs und Linkverkürzungsdienste setzten, ebenso auf legitime Plattformen wie Präsentationswerkzeuge, deren Weiterleitungsmechanismen missbraucht wurden, sowie auf kompromittierte Domains. Auffällig ist, dass ein Teil der alten Infrastruktur aktiv blieb – ein Hinweis darauf, dass die Störung unvollständig war. Zugleich registrierten die Betreiber rasch neue Phishing-Domains und IP-Adressen.
Zur beobachteten Aktivität nach einer Kompromittierung zählen das Anlegen von Posteingangsregeln, versteckte Ordner für betrügerische E-Mails und die Vorbereitung von BEC-Operationen.
CrowdStrike merkt abschließend an, dass es Kriminellen ohne Festnahmen oder physische Beschlagnahmen leichtfällt, betroffene Infrastruktur wiederherzustellen und zu ersetzen. Solange die Nachfrage aus dem Phishing-Ökosystem hoch bleibe, ändere sich auch das Motiv der Betreiber solcher Plattformen nicht.
