Tycoon 2FA ยังคงทำงานได้เต็มรูปแบบ แม้จะถูกหลายประเทศบังคับใช้กฎหมายบุกทลายระบบ

ยอดการโจมตีกลับมาอยู่ในระดับเดียวกับช่วงก่อนถูกขัดขวาง และกลยุทธ์ของคนร้ายยังคงไม่มีการเปลี่ยนแปลง

รายงานจาก CrowdStrike ระบุว่า แพลตฟอร์มบริการฟิชชิ่งสำเร็จรูป (Phishing-as-a-Service หรือ PhaaS) ที่ชื่อว่า Tycoon 2FA ยังคงเดินหน้าปฏิบัติการต่อไปได้ แม้จะมีความพยายามจากนานาชาติในการเข้าขัดขวางระบบก็ตาม

Tycoon 2FA เป็นบริการแบบสมัครสมาชิกที่เริ่มใช้งานมาตั้งแต่ปี 2023 ช่วยให้มิจฉาชีพสามารถสร้างการโจมตีแบบฟิชชิ่ง, ข้ามระบบการยืนยันตัวตนแบบหลายปัจจัย (MFA), และยึดบัญชีผู้ใช้ได้โดยไม่ทำให้ระบบตรวจจับแจ้งเตือน

ในปี 2025 Microsoft ตรวจพบว่า Tycoon 2FA อยู่เบื้องหลังความพยายามทำฟิชชิ่งถึง 62% ของทั้งหมดที่ถูกบล็อก โดยแพลตฟอร์มนี้ถูกใช้ส่งอีเมลอันตรายมากกว่า 30 ล้านฉบับต่อเดือน พุ่งเป้าไปที่องค์กรกว่า 5 แสนแห่ง และมีความเชื่อมโยงกับเหยื่อฟิชชิ่งที่ระบุตัวตนได้ราว 96,000 รายทั่วโลก

เมื่อต้นเดือนมีนาคมที่ผ่านมา Europol และ Microsoft ได้ประกาศยึดโดเมนของ Tycoon 2FA ที่กำลังใช้งานอยู่จำนวน 330 แห่ง พร้อมดำเนินคดีกับบุคคลหลายรายที่เกี่ยวข้อง ซึ่งเป็นส่วนหนึ่งของความร่วมมือระหว่างประเทศที่ประกอบด้วยหน่วยงานบังคับใช้กฎหมายจาก 6 ประเทศ และบริษัทเอกชนอีกนับสิบแห่ง

อย่างไรก็ตาม ข้อมูลจาก CrowdStrike ชี้ให้เห็นว่าความพยายามทลายระบบครั้งนี้สร้างความเสียหายเพียงเล็กน้อยเท่านั้น และปัจจุบันปฏิบัติการของ Tycoon 2FA ได้กลับเข้าสู่สภาวะปกติแล้ว

CrowdStrike ระบุว่า ในวันที่ 4 และ 5 มีนาคม หลังจากปฏิบัติการของเจ้าหน้าที่ ยอดกิจกรรมของ Tycoon 2FA ลดลงเหลือเพียง 25% แต่เพียงไม่นานหลังจากนั้น ยอดการโจมตีและการเข้ายึดระบบคลาวด์ก็ดีดตัวกลับขึ้นมาอยู่ในระดับเดียวกับช่วงต้นปี 2026

"นอกจากนี้ รูปแบบวิธีการโจมตี (TTPs) ของ Tycoon 2FA ก็ไม่ได้เปลี่ยนแปลงไปเลยหลังถูกทลายระบบ ซึ่งบ่งชี้ว่าบริการนี้อาจจะยังคงอยู่ต่อไปได้แม้จะมีการขัดขวาง" บริษัทด้านความปลอดภัยไซเบอร์ระบุ
กลยุทธ์ที่ใช้ (TTPs) ประกอบด้วย:
    •    การส่งอีเมลฟิชชิ่งที่นำทางไปยังหน้า CAPTCHA ปลอม
    •    การขโมย Session Cookie ทันทีที่เหยื่อยืนยัน CAPTCHA
    •    การใช้ไฟล์ JavaScript เพื่อดึงที่อยู่อีเมลและทำ Credential Proxying
    •    การใช้ข้อมูลที่ขโมยมาได้เข้าถึงสภาพแวดล้อมคลาวด์ของเหยื่อ

ในเดือนมีนาคม CrowdStrike พบว่า Tycoon 2FA ถูกนำไปใช้ในการหลอกลวงทางอีเมลธุรกิจ (BEC), การปลอมแปลงอีเมลตอบกลับ (Email Thread Hijacking), การใช้ SharePoint และคลาวด์ที่ถูกยึดเพื่อแพร่กระจาย URL ฟิชชิ่ง รวมถึงการเข้ายึดบัญชีคลาวด์โดยสมบูรณ์

แม้ว่าโดเมนบางส่วนจะถูกระงับไป แต่ CrowdStrike ได้ระบุพบที่อยู่ IP ใหม่ 8 แห่งที่คาดว่าถูกซื้อมาใช้งานหลังการบุกทลาย รวมถึงโดเมนฟิชชิ่งที่ใช้มาตั้งแต่ปี 2025 ซึ่งไม่ถูกจัดการในปฏิบัติการครั้งที่ผ่านมา

แม้ปฏิบัติการของ Europol และพันธมิตรจะช่วยลดทอนประสิทธิภาพของ Tycoon 2FA ได้บ้างและส่งผลดีต่อภาพรวมของอาชญากรรมไซเบอร์ (แม้จะเป็นเพียงชั่วคราว) แต่ CrowdStrike มองว่าการขัดขวางนี้ทำได้เพียงแค่ทำให้ลูกค้าปัจจุบันเสียจังหวะและทำลายชื่อเสียงระยะยาวของผู้ให้บริการ PhaaS ในตลาดมืดเท่านั้น


อ้างอิง : https://www.securityweek.com/tycoon-2fa-fully-operational-despite-law-enforcement-takedown/