Firmenmonitor
AktuelleNews

TrendAI™ unterstützt weltweite Takedown-Operation von MFA-Bypass-Plattform Tycoon2FA
 

Bildrechte: Trend Micro Schweiz

06.03.2026, TrendAI™, ein Geschäftsbereich von Trend Micro, einem der weltweit führenden Anbieter von Cybersicherheitslösungen, war massgeblich an der weltweiten Zerschlagung von Tycoon2FA beteiligt. Die führende Phishing-as-a-Service-Plattform war darauf ausgelegt, Multi-Faktor-Authentifizierung zu umgehen und Kontoübernahmen im grossen Stil zu ermöglichen.

In Zusammenarbeit mit Europol und einem Verbund von Branchenpartnern – darunter Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel471, Microsoft, Proofpoint, Resecurity, Shadowserver und SpyCloud – lieferte TrendAI™ Threat Intelligence, Infrastruktur-Tracking und Täterattribution, die unmittelbar zur Strafverfolgung beitrugen.

Tycoon2FA tauchte erstmals im August 2023 als abonnementbasiertes Phishing-Toolkit auf, das auf Adversary-in-the-Middle-Techniken setzte. Die Plattform fing nicht nur Benutzernamen und Passwörter ab, sondern kaperte aktive Authentifizierungssitzungen, einschliesslich Anmeldedaten, Einmalpasswörtern und aktiver Session- Cookies, in Echtzeit. Diese Cookies liessen sich anschliessend wiederverwenden, um Zugang zu Konten zu erlangen und so MFA-Schutzmechanismen zu umgehen, auf die Unternehmen weltweit vertrauen.

Zum Zeitpunkt der Zerschlagung zählte Tycoon2FA rund 2.000 Nutzer und hatte seit dem Start mehr als 24.000 Domains eingesetzt. Die Kampagnen zielten primär auf Microsoft 365 und andere Cloud-Dienste ab.

Die Bedrohungsforscher von TrendAI™ beobachteten die Infrastruktur, Kampagnen und das Verhalten der Betreiber über einen längeren Zeitraum. Im November 2025 konnten die Forscher die Operation einem Akteur zuordnen, der unter den Pseudonymen SaaadFridi und Mr_Xaad agierte. Nach ihrer Einschätzung handelt es sich dabei um den Entwickler und Hauptbetreiber des Dienstes. Frühere Aktivitäten deuteten auf eine Vergangenheit im Bereich Web Defacement hin, bevor der Akteur zur grossangelegten Entwicklung von Phishing-Kits wechselte. Detaillierte Erkenntnisse zu eingesetzten Tools, Infrastrukturmustern und operativem Verhalten gab TrendAI™ an Europol weiter, um koordinierte Massnahmen zu ermöglichen.

„Das war keine einzelne Phishing-Kampagne. Es war ein industrialisierter Dienst, der MFA-Bypass für Tausende von Kriminellen zugänglich machte“, erklärt Robert McArdle, Director für Cybercrime Research bei TrendAI™. „Identität ist heute die primäre Angriffsfläche. Wenn Session Hijacking als Abo-Modell angeboten wird, verschiebt sich das Risiko von Einzelfällen hin zu systemischer Bedrohung.“

Phishing-as-a-Service-Plattformen wie Tycoon2FA werden oft als nachrangig gegenüber Ransomware betrachtet. In der Praxis dienen sie jedoch häufig als erstes Einfallstor. Zugangsdaten und aktive Session Tokens, die über Adversary-in-the-Middle-Kampagnen erbeutet werden, landen auf etablierten kriminellen Marktplätzen oder werden an Access Broker weitergegeben. Dieser Zugang lässt sich anschliessend durch Business E-Mail Compromise (BEC), Datendiebstahl oder Ransomware-Angriffe monetarisieren.

Durch die Senkung der technischen Einstiegshürde erweiterte Tycoon2FA den Kreis der Angreifer, die in der Lage sind, ausgefeilte identitätsbasierte Attacken durchzuführen. Die Zerschlagung bedeutet einen erheblichen Rückschlag für dieses Ökosystem, beseitigt jedoch nicht die grundlegende Bedrohung.

Die Takedown-Operation unterstreicht den Wert einer nachhaltigen Bedrohungsanalyse in Kombination mit branchenweiter Koordination. Phishing-Plattformen operieren grenzüberschreitend, setzen auf verteilte Infrastrukturen und bedienen Tausende krimineller Kunden. Keine einzelne Organisation hat vollständige Transparenz. Eine Zerschlagung in diesem Ausmass erfordert deshalb verwertbare Erkenntnisse und abgestimmtes Handeln.

TrendAI™ wird auch in Zukunft mögliche Versuche beobachten, den Dienst unter neuer Infrastruktur wiederaufzubauen oder umzubenennen, und unterstützt Folgeermittlungen gegen identifizierte Nutzer und Administratoren. Zuvor gestohlene Zugangsdaten und Session-Cookies könnten weiterhin im Umlauf sein, weshalb Wachsamkeit auch weiterhin wichtig ist.

Was Unternehmen jetzt tun sollten:

Die Zerschlagung unterstreicht eine klare Botschaft: MFA allein reicht gegen Adversary-in-the-Middle-Phishing nicht aus.

TrendAI™ empfiehlt Unternehmen folgende Massnahmen:

  • - Phishing-resistente Authentifizierungsmechanismen einführen und strenge Conditional-Access-Richtlinien durchsetzen.

  • - Erweiterte E-Mail- und Collaboration-Sicherheit implementieren, die Lateral Phishing und Unternehmens-Impersonation erkennt.

  • - URL-Prüfung und Web-Content-Analyse in Echtzeit aktivieren, um gefälschte Login- Infrastrukturen zu identifizieren.

  • - Identitätsrisiken kontinuierlich überwachen und bei anomalem Sitzungsverhalten schnelle Gegenmassnahmen einleiten.

  • - Regelmässige Phishing-Simulationen und gezielte Security-Awareness-Trainings durchführen, um das Risiko durch menschliche Fehler zu reduzieren.

„Die Zerschlagung von Tycoon2FA zeigt, was möglich ist, wenn nicht nur beobachtet, sondern auch gehandelt wird“, ergänzt Robert McArdle von TrendAI™. „Wir werden die Akteure, die Infrastruktur und die Nutzer hinter diesen Diensten weiterverfolgen, um unsere Kunden zu schützen und die Kosten für den Betrieb im cyberkriminellen Ökosystem zu erhöhen.“

Weitere Informationen

Die vollständige Studie Europol, Microsoft, TrendAI™ and Collaborators Halt Tycoon 2FA Operations finden Sie hier: https://www.trendmicro.com/en_us/research/26/c/tycoon2fa-takedown.html.

Pressestelle Trend Micro Schweiz


c/o BRAND AFFAIRS AG
Mischa Keller / MSc Business AdministrationPartner
Telefon: +41 44 254 80 00
E-Mail: trendmicro-media@brandaffairs.ch
Mühlebachstrasse 8 / 8008 Zürich / Switzerland



Hinweis der Redaktion: Die Bildrechte liegen beim jeweiligen Herausgeber. Bildrechte: Trend Micro Schweiz


Über Trend Micro (Schweiz) GmbH:
Trend Micro, ein weltweit führender Anbieter von Cybersicherheitslösungen, arbeitet daran, die Welt für den Austausch digitaler Informationen rundum sicher zu machen. Durch jahrzehntelange Erfahrung im Bereich Sicherheit, die Erforschung weltweiter Bedrohungen sowie ständige Innovation schützt die Trend Micro Plattform über 500.000 Organisationen und 250 Millionen Personen über Clouds, Netzwerke, Geräte und Endpunkte hinweg.

Unsere führende Plattform für Cybersicherheit in der Cloud und in Unternehmen bietet zentrale Transparenz für eine verbesserte sowie schnellere Erkennung und Reaktion. Darüber erhalten Kunden Zugang zu einer leistungsstarken Sammlung fortschrittlicher Techniken zur Bedrohungsabwehr, die für Umgebungen wie AWS, Microsoft und Google optimiert wurden.

Hinweis: Der Über-uns-Text stammt aus öffentlichen Quellen oder aus dem Firmenporträt auf HELP.ch.


Quellen:
  HELP.ch

Weitere Informationen und Links:
  Trend Micro (Schweiz) GmbH (Firmenporträt)

 Artikel 'TrendAI™ unterstützt weltweite Takedown-Operation ...' auf Swiss-Press.com



Newsletter abonnieren
Auf  diesem Link abonnieren Sie unseren Newsletter und sind stets aktuell informiert.


Eigene News publizieren
Haben Sie eine aktuelle Firmeninformation oder ein Angebot, dass Sie hier publizieren möchten?
Auf  diesem Link erfassen Sie die entsprechenden Informationen.
Firmenmonitor

Facebook X (früher Twitter) Instagram LinkedIn YouTube

TOP NEWS - powered by Help.ch

Migros optimiert Importlogistik im Bereich Früchte und Gemüse Migros-Genossenschafts-Bund, 06.03.2026

TrendAI™ unterstützt weltweite Takedown-Operation von MFA-Bypass-Plattform Tycoon2FA Trend Micro (Schweiz) GmbH, 06.03.2026

Bridger Concept: Renault präsentiert Namen für neues Showcar Renault Suisse SA, 06.03.2026

NEWSTICKER - 07.03.2026

01:13 Uhr Blick.ch
Brand in Madiswil BE: Mehrfamilienhaus steht in Flammen »

23:12 Uhr SRF
«Arena» zu Iran – Klare Worte von Exil-Iranerin machen Bundespolitiker betroffen »

22:32 Uhr 20min
Gladbach chancenlos: Bayern nach 4:1 locker auf Titelkurs »

21:02 Uhr Espace Wirtschaft
Chinas Vorsprung bei den Erneuerbaren: Peking testet fliegende Kraftwerke in 2000 Metern Höhe – und düpiert Trump »

18:31 Uhr NZZ
Das Pentagon erklärt das KI-Unternehmen Anthropic zur Gefahr für das Militär »
Swiss Lotto
Lotto Zahlen »
4
10
11
28
30
39
5

Nächster Jackpot: CHF 15'100'000

EuroMillions Lotto
Euro Millions Zahlen »
6
7
24
34
50
5
7

Nächster Jackpot: CHF 176'000'000

Swiss Jackpot
Casino Jackpots »

Aktueller Jackpot: CHF 1'345'848

Teilnehmer von

SADP

Weitere Links

www.helpnews.ch

Der Onlineverlag HELP Media AG publiziert seit 1996 Konsumenteninformationen für Schweizerinnen und Schweizer. Mit über 150 Suchmaschinen und Informationsportalen gehört HELP Media AG zu den Marktleadern im Schweizer Onlinemarkt.

offene Jobs
Referenzen
  Online-Shop

HELP Media AG in Social Networks
Facebook X (früher Twitter) Instagram LinkedIn YouTube

Aktuelle News

Es gibt keinen Gerümpel im Leistungskatalog
Dachverband Komplementärmedizin, 06.03.2026

Schweiz stärkt die Zusammenarbeit mit der EU im aussen- und sicherheitspolitischen Bereich
Departement für auswärtige Angelegenheiten EDA, 06.03.2026

Siehe mehr News

Ihre Werbeplattform

HELP.CH your e-guide ® ist ein führendes Verzeichnis der Schweiz mit über 18 Mio. erweiterten Wirtschafts- und Firmendaten, 2'500 eigenen Schweizer Webadressen (Domains) und 150 eigenständigen Informationsportalen. Ausserdem betreibt der Onlineverlag HELP Media AG eines der grössten Schweizer Medien-Netzwerke mit über 1 Mio. Webseiten in allen Interessensbereichen.

www.help.ch

Kontakt

  • Email:
    info@help.ch

  • Telefon:
    +41 (0)44 240 36 40
    0800 SEARCH
    0800 732 724

  • Zertifikat:
    Sadp


Copyright © 1996-2026 HELP Media AG, Geschäftshaus Airgate, Thurgauer­strasse 40, CH-8050 Zürich. Alle Angaben ohne Gewähr. Im­pres­sum / AGB, Nut­zungs­bedin­gungen, Daten­schutz­er­klärung

Diese Site verwendet Cookies. Mit der Nutzung akzept. Sie die Cookie Policy.      close