Em 4 de março de 2026, uma coligação de 12 empresas tecnológicas e agências de segurança de seis países europeus derrubou a maior plataforma de phishing-as-a-service (PhaaS) do mundo. A operação confiscou 330 domínios, desarticulou a infraestrutura de 2.000 utilizadores criminosos e interrompeu uma rede que tinha executado mais de 64.000 campanhas contra Microsoft 365 desde agosto de 2023. Vinte e nove dias depois, o Tycoon2FA voltou a operar.
O regresso, confirmado a 2 de abril de 2026, não foi uma surpresa para os analistas de segurança que acompanhavam a plataforma. O que surpreendeu foi a velocidade da adaptação: a nova versão abandonou os métodos de phishing convencionais e adotou um vetor de ataque baseado em fluxos de autorização OAuth 2.0, concretamente o mecanismo de device code da Microsoft. O ataque explora a interface legítima de microsoft.com/devicelogin, tornando os filtros de URL e os gateways de segurança de email praticamente inúteis.
O Que é o Tycoon2FA: A “Shopify do Phishing”
O Tycoon2FA surgiu em agosto de 2023 como uma plataforma PhaaS desenhada especificamente para contornar a autenticação de dois fatores (2FA) e a autenticação multifator (MFA). Ao contrário dos kits de phishing tradicionais, que apenas capturam credenciais estáticas, o Tycoon2FA opera como um proxy reverso em tempo real, posicionado entre a vítima e o servidor legítimo da Microsoft ou Google.
A técnica chama-se Adversary-in-the-Middle (AiTM). Quando a vítima insere as credenciais na página falsa, o servidor do Tycoon2FA retransmite-as imediatamente para o serviço real e captura o cookie de sessão autenticado, incluindo o token MFA. O atacante fica com uma sessão válida e não precisa da password, do código de SMS nem da notificação push. O MFA torna-se irrelevante.
Michiel Appelman, Principal Solutions Engineer da Cloudflare, descreveu o modelo de negócio numa sessão do CyCon 2026: “Por 120 dólares por mês, qualquer criminoso podia subscrever. Não era necessário conhecimento técnico, nem infraestrutura. Era exatamente como subscrever um serviço SaaS legítimo.”
Este modelo de negócio criminoso gerou quase 400.000 dólares em transações Bitcoin rastreáveis, segundo a análise citada no relatório da Cloud Security Alliance. O valor real será significativamente superior, uma vez que muitos pagamentos foram feitos em criptomoedas não rastreáveis.
Cronologia: De Agosto de 2023 ao Colapso de Março de 2026
Para compreender a magnitude da operação de março de 2026, é necessário contextualizar o crescimento exponencial da plataforma nos 31 meses anteriores.
| Período | Marco | Dados |
|---|---|---|
| Agosto 2023 | Lançamento do Tycoon2FA | Primeira plataforma PhaaS com bypass AiTM escalável |
| Janeiro 2025 | Dominância de mercado | 89% dos incidentes PhaaS registados por fornecedores |
| Meados 2025 | Pico de atividade | 62% de todas as tentativas de phishing bloqueadas pela Microsoft |
| Agosto 2025 | Campanha contra Salesforce | Ataque a 760 organizações via tokens OAuth roubados |
| 4 março 2026 | Operação de derrube | 330 domínios confiscados, infraestrutura destruída |
| 2 abril 2026 | Ressurgimento | Nova infraestrutura operacional com vetor OAuth device code |
No pico de operação em meados de 2025, o Tycoon2FA representava sozinho 62% de todos os ataques de phishing bloqueados pelos sistemas da Microsoft e 89% de todos os incidentes PhaaS identificados pelos principais fornecedores de segurança em janeiro de 2025. Estes números tornam-no a plataforma de phishing mais dominante da história documentada do cibercrime.
A Operação de 4 de Março de 2026: Parceiros e Resultados
A operação de derrube do Tycoon2FA foi a maior ação coordenada contra uma plataforma PhaaS até à data. O Europol, através do seu Centro Europeu de Cibercrime (EC3), liderou a coordenação com a participação da Microsoft Digital Crimes Unit (DCU) e de agências de lei de seis países europeus: Letónia, Lituânia, Portugal, Polónia, Espanha e Reino Unido.
Do lado privado, a operação reuniu 12 organizações tecnológicas e de segurança: Cloudflare, Coinbase, Crowell, eSentire, Health-ISAC, Intel471, Microsoft, Proofpoint, Resecurity, The Shadowserver Foundation, SpyCloud e TrendAI. A Cloudflare executou uma purga técnica dos Workers Projects associados à infraestrutura e coordenou com a Microsoft um processo legal civil para confiscar domínios em registradores em todo o mundo.
Resultados da operação:
- 330 domínios confiscados da infraestrutura central
- 24.000 domínios identificados e derrubados no total (incluindo staging)
- Infraestrutura de Cloudflare Workers completamente eliminada
- 2.000 utilizadores criminosos ativos sem acesso ao serviço
- Registos de transações Bitcoin analisados e partilhados com autoridades
A participação de Portugal nesta operação não é acidental. Nos últimos 18 meses, os ataques de phishing a organizações portuguesas registaram um aumento de 32% face à média europeia, segundo dados do relatório Ciberataques em Portugal 2026. A Polícia Judiciária e o SIS coordenaram com o Europol a componente nacional da operação.
Anatomia Técnica: Como o Tycoon2FA Bypassa o MFA
O funcionamento técnico do Tycoon2FA divide-se em três fases distintas. Compreender cada fase é essencial para implementar contramedidas eficazes.
Fase 1: Entrega e Engano
O ataque começa com um email de phishing que contém uma URL de rastreamento da Trustifi, um serviço legítimo de email marketing. Esta escolha é deliberada: os gateways de segurança de email não bloqueiam URLs de domínios Trustifi legítimos. Quando a vítima clica, percorre uma cadeia de quatro camadas de redirecionamento no browser antes de chegar à página de login falsa.
Fase 2: Captura em Tempo Real (AiTM)
A página de login falsa é um proxy reverso do servidor real da Microsoft ou Google. Cada keystroke da vítima é retransmitida em tempo real para o servidor legítimo. Quando a vítima completa o login, incluindo o passo de MFA, o servidor Tycoon2FA captura o cookie de sessão autenticado. O atacante agora tem acesso completo à conta, sem nunca ter precisado da password original nem do código MFA.
Fase 3: Exfiltração e Persistência
As credenciais e os cookies de sessão são exfiltrados imediatamente via bots de Telegram para o operador do ataque. Uma vez dentro da conta, o atacante pode modificar regras da caixa de entrada, registar novos autenticadores, delegar acesso a outras contas ou lançar campanhas de phishing a partir do endereço comprometido, que tem reputação limpa nos sistemas de filtragem.
O Novo Vetor de Ataque: OAuth 2.0 Device Code (Abril 2026)
A versão que ressurgiu a 2 de abril de 2026 representa uma evolução significativa na sofisticação. Em vez de criar páginas de login falsas, a nova variante explora o fluxo legítimo de autorização OAuth 2.0 por device code, especificamente a interface microsoft.com/devicelogin da própria Microsoft.
O ataque funciona da seguinte forma: o operador inicia um pedido de autenticação de device code no sistema da Microsoft e obtém um código de 8 caracteres. Este código é enviado à vítima através de um email convincente. A vítima acede ao URL legítimo da Microsoft, introduz o código, e pensa estar a completar uma ação de segurança normal. Na realidade, está a autorizar o dispositivo do atacante a aceder à sua conta.
O impacto desta mudança é técnico mas profundo: os sistemas de segurança que procuram por domínios maliciosos ou páginas de login falsas não detetam este ataque, porque toda a interação acontece em domínios legítimos da Microsoft. Para saber mais sobre como o OAuth 2.0 funciona e os seus vetores de risco, consulte o guia sobre OAuth 2.0 em Node.js com PKCE.
O relatório Unit 42 2026 já antecipava esta tendência ao documentar que os atacantes reduzem continuamente o tempo entre comprometimento e exfiltração de dados, passando de horas para minutos.
Escala Global: 64.000 Campanhas e 500.000 Organizações
Os números que definem o impacto do Tycoon2FA não têm precedente histórico para uma única plataforma PhaaS:
- 64.000 campanhas de phishing em grande escala desde agosto de 2023
- 500.000 organizações visadas mensalmente no pico de atividade
- 96.000 vítimas distintas identificadas por IP único
- 55.000 clientes Microsoft diretamente afetados
- 24.000 domínios utilizados ao longo de 31 meses de operação
- 2.000 utilizadores criminosos com acesso ativo à plataforma
Para contextualizar: 500.000 organizações por mês equivale a 6 milhões de organizações por ano. Se se assumir uma taxa de sucesso conservadora de 0,1%, isso representa 6.000 compromissos bem-sucedidos por ano provenientes apenas desta plataforma.
Os setores mais afetados incluem educação, saúde, finanças, organizações sem fins lucrativos e serviços governamentais, com um foco particular em organizações que utilizam Microsoft 365 como plataforma de email e colaboração. O Google Workspace foi também alvo regular da plataforma.
Comparação com Outros Kits PhaaS: Tycoon2FA Dominou o Mercado
| Plataforma | Utilizadores | Domínios | Método Principal | Preço | Estado |
|---|---|---|---|---|---|
| Tycoon2FA | 2.000 | 24.000+ | AiTM proxy + OAuth device code | $120/mês | Ativo (ressurgido abril 2026) |
| EvilProxy | Desconhecido | Milhares | AiTM proxy reverso | $150-400/mês | Ativo |
| Caffeine | Desconhecido | Centenas | Infraestrutura de phishing | Variável | Ativo, reduzido |
| RaccoonO365 | Desconhecido | Centenas | Phishing Microsoft 365 | Variável | Reduzido |
| Modlishka | Open source | Por instância | Proxy reverso manual | Gratuito | Ativo (ferramenta) |
A tabela mostra porque razão o Tycoon2FA dominou o mercado: preço competitivo combinado com escala e facilidade de uso. Os concorrentes, como o EvilProxy, são mais caros e com menos funcionalidades automatizadas. O RaccoonO365, focado exclusivamente em Microsoft 365, foi amplamente substituído pelo Tycoon2FA que oferece capacidades mais amplas.
A natureza phishing-as-a-service democratizou os ataques sofisticados. Até 2023, contornar o MFA exigia conhecimentos técnicos avançados e infraestrutura própria. O Tycoon2FA reduziu essa barreira para 120 dólares e um endereço de email.
O Ressurgimento de Abril 2026: Lições para as Organizações
O facto de o Tycoon2FA ter voltado a operar 29 dias após a maior operação de derrube da história do PhaaS ilustra um problema estrutural no combate ao cibercrime: a destruição de infraestrutura sem prisões de operadores principais é temporária.
Os analistas da Resecurity, um dos parceiros na operação de março, documentaram que a nova infraestrutura apresentou obfuscação significativamente mais agressiva do que as versões anteriores, com rotação de domínios mais rápida, uso extensivo de CDNs para mascarar a origem dos servidores e técnicas anti-análise para dificultar o trabalho de investigadores de segurança.
David Sherrill, investigador sénior de ameaças da SpyCloud, publicou após a operação: “Os takedowns são necessários e têm impacto real. Mas a verdade é que os dados de milhares de contas comprometidas já estão fora do controlo. O objetivo agora é limitar o tempo de acesso das sessões ativas.”
Esta posição é partilhada pelos investigadores da Intel471, que publicaram análises mostrando que os cookies de sessão capturados pelo Tycoon2FA continuam válidos mesmo após a derrubada da plataforma, a menos que as organizações forcem a invalidação de todas as sessões ativas.
Impacto nas Organizações Portuguesas: O Que Mudou
Portugal foi um dos seis países que participou na operação de março de 2026, o que indica que autoridades portuguesas tinham acesso a informação de inteligência sobre vítimas nacionais. Embora os números específicos de organizações portuguesas afetadas não tenham sido divulgados publicamente, o padrão de ataque do Tycoon2FA é particularmente perigoso para o contexto empresarial português por três razões:
Primeira: a penetração do Microsoft 365 em PMEs portuguesas cresceu de 34% para 67% entre 2022 e 2026, segundo dados da APDSI. Esta dependência cria uma superfície de ataque enorme para plataformas PhaaS focadas na Microsoft.
Segunda: a formação de colaboradores em Portugal continua abaixo da média europeia. O relatório CNCS 2025 indicou que apenas 23% das organizações portuguesas realizaram simulações de phishing no último ano, contra 51% na média da UE.
Terceira: muitas organizações portuguesas ainda não implementaram políticas de acesso condicional no Microsoft 365, que são a contramedida mais eficaz contra os ataques AiTM. A ausência de controlo de sessão baseado em risco torna as contas vulneráveis mesmo quando o utilizador tem MFA ativo.
O contexto enquadra-se numa tendência mais ampla documentada em Portugal. Os ataques de atores estatais russos a funcionários portugueses via WhatsApp e Signal, alertados pelo SIS, e os 2.437 ciberataques semanais a organizações portuguesas mostram que o país está claramente na mira de atores avançados.
O Modelo de Negócio Criminal: $120 por Mês, $400.000 em Bitcoin
A análise financeira do Tycoon2FA revela um modelo de negócio criminoso surpreendentemente eficiente. A plataforma oferecia acesso por 120 dólares por mês, com pacotes alternativos de acesso por período fixo. Os 2.000 utilizadores ativos geravam uma receita mensal potencial de 240.000 dólares apenas em subscrições.
As análises de blockchain rastrearam quase 400.000 dólares em transações Bitcoin diretamente ligadas à infraestrutura da plataforma, mas especialistas estimam que o total real seja entre 3 e 10 vezes superior, considerando o uso de mixers de criptomoedas, stablecoins privadas e pagamentos em Monero.
Para as vítimas corporativas, o custo é ordens de magnitude superior. Comprometimentos de Business Email Compromise (BEC) via contas Microsoft 365 roubadas custaram às organizações norte-americanas 2,9 mil milhões de dólares em 2024, segundo dados do FBI IC3. Uma única sessão capturada pelo Tycoon2FA pode resultar em transferências fraudulentas de centenas de milhares de euros.
Análise de Mercado: O Ecossistema PhaaS em 2026
O caso Tycoon2FA documenta a maturação do mercado PhaaS. Em 2019, preparar um kit de phishing com bypass MFA exigia semanas de trabalho técnico avançado. Em 2026, exige 120 dólares e 10 minutos de registo numa plataforma criminal.
Os analistas da eSentire identificaram três características que definem a segunda geração de plataformas PhaaS como o Tycoon2FA: automação do bypass MFA, infraestrutura de rotação rápida para evadir bloqueios, e canais de distribuição de resultados em tempo real (tipicamente via Telegram). A primeira geração de kits, como o Modlishka (2018), exigia que os atacantes gerissem manualmente cada sessão. O Tycoon2FA automatizou este processo completamente.
Esta evolução tem implicações diretas para a defesa. As tecnologias de MFA baseadas em SMS ou apps TOTP (como Google Authenticator) não oferecem proteção contra AiTM porque o proxy captura o token de MFA em trânsito. Apenas MFA resistente a phishing, como as chaves de segurança FIDO2 ou passkeys, elimina este vetor de ataque. Para perceber a diferença entre passkeys e passwords tradicionais em contexto de segurança, consulte a análise Passkeys vs Passwords.
Como Detetar e Prevenir Ataques Tycoon2FA
As recomendações das organizações parceiras na operação de março convergem em seis áreas prioritárias:
1. MFA resistente a phishing (FIDO2 / Passkeys): Chaves de segurança hardware como YubiKey ou passkeys integradas no sistema operativo são a única contramedida que elimina o risco AiTM. O token de autenticação FIDO2 é vinculado criptograficamente ao domínio legítimo, tornando impossível o relay por um proxy. Veja como implementar WebAuthn e Passkeys em Node.js.
2. Políticas de acesso condicional com controlo de sessão: Configurar Microsoft Entra ID para rejeitar sessões de IPs impossíveis, dispositivos não registados, e reautenticar sessões que mudam de características de rede. Limitar a duração dos tokens de refresh para menos de 4 horas em contas de alto risco.
3. Auditoria e restrição de aplicações OAuth: Definir políticas de aprovação administrativa para todas as aplicações OAuth de terceiros. Revogar periodicamente aplicações não utilizadas. Bloquear o fluxo OAuth de device code se a organização não o necessitar operacionalmente.
4. Formação de colaboradores com simulações: Incluir cenários de device code phishing nas simulações de phishing regulares. Os utilizadores precisam de reconhecer pedidos legítimos versus pedidos induzidos por atacantes no portal microsoft.com/devicelogin.
5. Monitorização de sessões ativas: Implementar alertas para sessões que persistem após reset de password, logins de user agents invulgares, e sessões que acedem a volumes anormais de dados em períodos curtos.
6. DMARC, SPF e DKIM em modo enforcement: Reduzir a capacidade dos atacantes de usar domínios similares ao da organização para entrega de emails de phishing. A implementação de DMARC em modo p=reject bloqueia a maioria dos ataques de spoofing de domínio.
Para organizações em Portugal, o CNCS disponibiliza recursos adicionais e orientações específicas sobre implementação de MFA resistente a phishing no âmbito da transposição da NIS2, que exige medidas técnicas de autenticação robusta para operadores de serviços essenciais.
Previsões: O Que Esperar do Tycoon2FA e do PhaaS até ao Final de 2026
Com base na trajetória documentada do Tycoon2FA e nas tendências do mercado PhaaS, os analistas de segurança antecipam cinco desenvolvimentos até ao final de 2026:
Previsão 1: O Tycoon2FA integrará IA generativa para personalização de ataques. A próxima versão da plataforma usará modelos de linguagem para personalizar emails de phishing com base em dados públicos do LinkedIn da vítima. Isto aumentará as taxas de clique de forma significativa.
Previsão 2: A UE exigirá MFA resistente a phishing para setores críticos até ao Q4 2026. A ENISA já recomendou formalmente a adoção de FIDO2 para operadores de infraestrutura crítica no âmbito da NIS2. Espera-se que pelo menos 8 Estados-membros transponham este requisito para legislação nacional antes do fim do ano.
Previsão 3: O fluxo OAuth de device code será restringido pela Microsoft no segundo semestre de 2026. A Microsoft já sinalizou que irá adicionar controlos adicionais ao fluxo de device code no Microsoft Entra ID, tornando mais difícil o abuso por parte de atacantes mas mantendo a funcionalidade legítima para dispositivos sem browser.
Previsão 4: Surgirão 3 a 5 novos concorrentes do Tycoon2FA em 2026. O mercado PhaaS demonstrou ser lucrativo. A derrubada do Tycoon2FA criou uma lacuna de mercado que outros grupos criminosos estão ativamente a preencher. Esperam-se novas plataformas com preços mais baixos e funcionalidades melhoradas.
Previsão 5: As organizações portuguesas com NIS2 obrigatória serão as próximas a ser visadas seletivamente. A obrigação de notificação de incidentes da NIS2 torna as empresas visadas públicas. Grupos criminosos podem direcionar ataques para organizações que publicam relatórios de incidentes, para identificar alvos com dados valiosos mas com capacidades de resposta ainda em maturação.
Histórico: Phishing-as-a-Service de 2019 a 2026
O Tycoon2FA não surgiu do nada. Representa a terceira geração de plataformas PhaaS, cada uma mais sofisticada que a anterior.
Em 2019, as primeiras plataformas PhaaS como o 16Shop ofereciam apenas páginas de phishing estáticas de marcas como Apple e PayPal, por 60 a 150 dólares. O bypass de MFA não existia porque era tecnicamente complexo.
Em 2021-2022, surgiram plataformas de segunda geração como o EvilProxy e o Modlishka, que implementaram proxy reverso mas ainda exigiam configuração técnica significativa por parte do atacante.
Em 2023, o Tycoon2FA inaugurou a terceira geração: totalmente automatizado, com infraestrutura gerida pelo fornecedor, entrega de resultados via Telegram, e preço acessível. O resultado foi a democratização completa dos ataques AiTM.
O próximo passo provável é a integração com ferramentas de reconhecimento automatizado e geração de conteúdo com IA, reduzindo ainda mais a barreira de entrada para atacantes com zero conhecimento técnico.
Cobertura Relacionada
Leitura Recomendada
- Hackers Russos Atacam WhatsApp e Signal: SIS Alerta Oficiais Portugueses [2026]
- Autenticação de Dois Fatores em Node.js: 12 Passos [2026]
- WebAuthn em Node.js: Implementar Passkeys em 12 Passos [2026]
- OAuth 2.0 em Node.js com PKCE: Autenticação Segura em 12 Passos [2026]
- Passkeys vs Passwords: 8,5s vs 31s de Login [2026]
- Relatório Unit 42 2026: Ciberataques Roubam Dados em 72 Minutos
- Ciberataques em Portugal: 2.437/Semana, +32% face à Média da UE [2026]
Perguntas Frequentes sobre Tycoon2FA
O que é o Tycoon2FA?
O Tycoon2FA é uma plataforma de phishing-as-a-service (PhaaS) que fornecia a cibercriminosos um kit completo para contornar a autenticação de dois fatores (2FA) e MFA em contas Microsoft 365 e Google. Funcionava por subscrição mensal a partir de 120 dólares e estava disponível para qualquer utilizador registado nos fóruns criminais onde era vendido.
O Tycoon2FA conseguia mesmo contornar o MFA?
Sim. A técnica AiTM (Adversary-in-the-Middle) usada pelo Tycoon2FA não tenta quebrar o MFA, mas captura a sessão autenticada depois de o utilizador completar todos os passos de autenticação, incluindo o MFA. O resultado prático é que o MFA baseado em SMS, TOTP (apps como Google Authenticator) ou notificações push não oferece proteção contra este tipo de ataque.
Como saber se fui vítima do Tycoon2FA?
Os indicadores incluem logins em horários ou locais incomuns no histórico de acesso da conta Microsoft 365, regras de inbox que não configurou, emails enviados que não reconhece, e delegações de acesso a contas externas. Rever o log de atividade em myaccount.microsoft.com é o primeiro passo.
O MFA FIDO2 / Passkeys protege contra o Tycoon2FA?
Sim, completamente. As chaves FIDO2 e passkeys vinculam criptograficamente o token de autenticação ao domínio legítimo. Quando um proxy AiTM tenta retransmitir o pedido de autenticação, o token é inválido porque o domínio não corresponde. É a única tecnologia de autenticação que elimina o risco de phishing AiTM.
A operação de março de 2026 pôs fim ao Tycoon2FA?
Não. Embora a operação tenha confiscado 330 domínios e interrompido temporariamente as operações, o Tycoon2FA voltou a operar a 2 de abril de 2026, 29 dias depois. Os operadores principais não foram presos, o que permitiu a reconstrução da infraestrutura. Os cookies de sessão capturados antes do takedown continuam válidos até que as organizações forcem a invalidação de todas as sessões.
O que devem fazer as organizações portuguesas agora?
Prioridade imediata: auditar todas as aplicações OAuth conectadas ao Microsoft 365, forçar o registo de sessões com acesso condicional baseado em risco, e implementar FIDO2 ou passkeys para contas administrativas e de alto risco. A médio prazo, incluir simulações de device code phishing nos programas de formação de colaboradores e alinhar com os requisitos da NIS2 para autenticação robusta.
O fluxo de device code OAuth é intrinsecamente inseguro?
Não por si só. O fluxo de device code tem utilização legítima em dispositivos sem browser, como televisões inteligentes, consolas de jogo, e equipamentos industriais. O problema surge quando os atacantes manipulam utilizadores para introduzirem códigos device code fora do contexto legítimo. A Microsoft está a trabalhar em controlos adicionais para distinguir usos legítimos de abusos.
