Présentée début mars comme un coup majeur porté au phishing, l’opération menée contre Tycoon2FA n’aura offert qu’un répit de courte durée. À peine quelques jours après la saisie de 330 domaines par Europol, Microsoft et leurs partenaires, la plateforme avait déjà retrouvé un niveau d’activité proche de celui observé avant le coup de filet.
Le 4 mars dernier, Europol, Microsoft et plusieurs acteurs privés annonçaient avoir neutralisé l’infrastructure de Tycoon2FA, une plateforme de phishing-as-a-service bien connue pour ses outils capables de contourner la double authentification. L’opération avait de quoi marquer les esprits. Des centaines de domaines saisis, une infrastructure décrite comme centrale dans l’activité du service, et un acteur majeur du phishing soudainement mis à terre. Mais la période de grâce n’aura pas duré bien longtemps. Selon CrowdStrike, l’activité du service a chuté pendant deux jours avant de retrouver, très vite, ses volumes du début 2026.
Un coup d’arrêt bien réel, mais de très courte durée
Sur le moment, l’opération semblait pourtant avoir porté ses fruits. Microsoft avait pris la main sur le volet technique du démantèlement, avec la saisie de 330 domaines liés à l’infrastructure de Tycoon2FA, des pages de phishing aux panneaux de contrôle utilisés pour piloter les campagnes. Europol, de son côté, coordonnait une action plus large avec plusieurs pays européens et des partenaires du secteur privé. Pour une plateforme qui représentait, selon Microsoft, 62 % des tentatives de phishing bloquées par l’entreprise à la mi-2025, le signal envoyé était fort.
Dans les jours qui ont suivi, CrowdStrike a bien constaté une chute nette de l’activité. Les volumes observés les 4 et 5 mars sont tombés à environ un quart du niveau habituel. Mais le reflux s’est arrêté là. Très vite, les opérations attribuées à Tycoon2FA sont revenues à des niveaux comparables à ceux du début 2026.
Plus frappant encore, ce retour ne s’est pas accompagné d’un changement profond de méthode. CrowdStrike explique que les techniques, tactiques et procédures du service sont restées largement inchangées. Tycoon2FA continue de s’appuyer sur les mêmes leurres qu’avant pour mener des compromissions de comptes cloud, détourner des fils de discussion, conduire des opérations de BEC (usurpation d’une messagerie professionnelle à des fins de fraude) et diffuser des liens piégés, parfois via des services légitimes détournés ou des domaines compromis.
Un retour express qui pointe les limites des démantèlements techniques
Dans les faits, cette reprise rapide montre surtout qu’un coup porté à l’infrastructure ne suffit pas toujours à faire tomber durablement ce type de plateforme. Saisir des domaines perturbe l’activité, parfois fortement, mais rarement pour longtemps. Lorsqu’aucune arrestation n’accompagne l’opération et qu’aucune saisie physique n’est annoncée, les opérateurs gardent souvent assez de marge de manœuvre pour reconstruire vite. C’est d’ailleurs ce que souligne CrowdStrike, qui observe à la fois l’enregistrement rapide de nouveaux domaines et de nouvelles adresses IP, mais aussi le maintien en ligne d’une partie de l’ancienne infrastructure après le coup de filet.
Cela ne veut pas dire que l’opération du 4 mars était inutile. Elle a bien désorganisé Tycoon2FA, ne serait-ce qu’en interrompant temporairement ses campagnes et en forçant ses opérateurs à reconstituer une partie de leur dispositif. Mais entre neutraliser une infrastructure et faire disparaître durablement un service criminel, il y a un monde. La demande pour des kits de phishing prêts à l’emploi ne faiblit pas, et les plateformes déjà bien installées savent visiblement encaisser ce type de perturbation.
Le cas Tycoon2FA renvoie donc une image plus fidèle de ce que produisent souvent ces opérations. Le service annoncé comme terrassé début mars a surtout été freiné pendant quelques jours. Pour le phishing industriel, c’était un contretemps. Pas une fin.
Source : CrowdStrike
