Tycoon2FA y phishing AiTM: cómo eludió MFA

Introducción: por qué esto importa

Los kits de phishing AiTM como Tycoon2FA cambian el modelo de riesgo para los inicios de sesión de Microsoft 365 y otros SaaS: incluso cuando los usuarios tienen MFA habilitado, los atacantes aún pueden tomar control de las cuentas interceptando cookies/tokens de sesión durante el inicio de sesión. Para los administradores de TI, eso significa que “restablecer la contraseña” a menudo no es suficiente: la respuesta a incidentes debe incluir revocar sesiones/tokens y reforzar los controles de autenticación.

Novedades / hallazgos clave del análisis de Microsoft

Tycoon2FA permitió eludir MFA a una escala masiva

• Activo desde agosto de 2023, Tycoon2FA se convirtió en uno de los ecosistemas PhaaS más prevalentes.
• Microsoft observó campañas que entregaban decenas de millones de mensajes de phishing y alcanzaban a más de 500.000 organizaciones cada mes en la mayoría de los sectores.
• El kit proporcionaba proxying AiTM: capturaba credenciales e interceptaba cookies de sesión mientras retransmitía solicitudes/códigos de MFA al servicio real.

Una experiencia “llave en mano” para operadores redujo la barrera de entrada

Tycoon2FA se vendía a través de canales como Telegram/Signal y proporcionaba un panel de administración web para:

• Seleccionar plantillas de suplantación de marca (Microsoft 365, Outlook, OneDrive, SharePoint, Gmail)
• Configurar cadenas de redirección, señuelos y lógica de enrutamiento
• Generar archivos maliciosos de cebo (p. ej., entregas basadas en PDF/HTML/EML/código QR)
• Rastrear la interacción de la víctima y exfiltrar artefactos capturados (incluido mediante bots de Telegram)

Evasión e infraestructura de rotación rápida

Microsoft destaca un uso intensivo de técnicas anti-análisis y de evasión, incluidas:

• Controles anti-bot, fingerprinting del navegador, CAPTCHA autoalojado y ofuscación de código
• Dominios de corta vida (a menudo 24–72 horas) con TLDs diversos y de baja fricción
• Uso extensivo de infraestructura alojada en Cloudflare y rotación rápida para adelantarse a los bloqueos

Actividad de interrupción

La DCU de Microsoft, trabajando con Europol y socios, facilitó una interrupción de la infraestructura y las operaciones de Tycoon2FA: un paso importante, aunque los defensores deberían esperar imitadores y retooling.

Impacto en administradores de TI y usuarios finales

• MFA por sí solo no es suficiente contra AiTM cuando depende de tokens de sesión reutilizables.
• La recuperación de cuentas debe incluir revocación de sesiones/tokens; de lo contrario, los atacantes pueden persistir incluso después de restablecer contraseñas.
• Las cargas de trabajo de correo y colaboración (Exchange Online, SharePoint/OneDrive) siguen siendo objetivos prioritarios por los datos de alto valor y las oportunidades de movimiento lateral.

Acciones / próximos pasos

1. Priorizar autenticación resistente al phishing (primero para usuarios de alto riesgo): avanzar hacia FIDO2/passkeys, autenticación basada en certificados u otros métodos resistentes al phishing cuando sea posible.
2. Reforzar Conditional Access: reducir el valor del token replay (controles de sign-in risk, requisitos de cumplimiento del dispositivo, restricciones de ubicación y controles de sesión más estrictos para roles con privilegios).
3. Revisar runbooks de incidentes: asegurar que la respuesta incluya revoke sign-in sessions, deshabilitar cuentas comprometidas y rotar credenciales/claves según sea necesario.
4. Fortalecer controles de ingreso de correo: aplicar protecciones contra spoofing, usar reglas de flujo de correo cuando corresponda y revisar con rigor señuelos basados en adjuntos (SVG/HTML/PDF/QR).
5. Usar detecciones de Microsoft Defender y guía de hunting: operacionalizar las recomendaciones de detección y hunting del informe de Microsoft para identificar patrones AiTM, robo de tokens e infraestructura de redirección sospechosa.