Dans la majorité des incidents détectés (89%), c’est la plateforme avancée Tycoon 2FA qui a été impliquée, suivie d’EvilProxy, responsable de 8% des attaques. Un nouvel acteur, Sneaky 2FA, a quant à lui été identifié dans 3 % des cas. Ces trois plateformes disposent de différentes fonctionnalités, mais partagent certaines caractéristiques, comme l’utilisation du service de messagerie Telegram.

Tycoon 2FA : une innovation rapide pour échapper à la détection

Dès janvier 2025, les chercheurs de Barracuda avaient signalé l’essor de Tycoon 2FA. Depuis, la plateforme n’a cessé d’évoluer, affinant ses techniques d’évasion pour rendre sa détection encore plus complexe. Parmi les dernières améliorations, le script utilisé pour voler et exfiltrer les identifiants est désormais chiffré et camouflé à l’aide d’une clé de substitution, parfois même dissimulé grâce à un caractère invisible, connu sous le nom de « Hangul Filler ».

Ce script avancé est capable d’identifier le navigateur utilisé par la victime afin d’adapter l’attaque en conséquence. Il intègre également des liens vers Telegram pour transmettre les données volées aux attaquants. De plus, il permet d’actualiser certaines parties d’une page web indépendamment du reste du site, tandis que le chiffrement AES protège les identifiants interceptés avant leur transfert vers un serveur externe. Ces évolutions rendent les solutions de sécurité traditionnelles encore moins efficaces face à cette menace.

EvilProxy : un outil redoutable et facile d’accès

Les attaques via EvilProxy peuvent être exécutées avec un minimum de connaissances techniques. Cette plateforme cible des services populaires comme Microsoft 365, Google et d’autres solutions cloud, en dupant les victimes via des pages de connexion frauduleuses imitant celles des fournisseurs légitimes. Le code source utilisé par EvilProxy pour ses pages de phishing est presque identique à celui des véritables portails de connexion Microsoft, rendant la distinction entre le site malveillant et la version officielle extrêmement difficile.

Sneaky 2FA : un phishing automatisé pour tromper les victimes

La troisième plateforme la plus active au début de l’année 2025 est Sneaky 2FA, un outil spécialisé dans les attaques de type adversary-in-the-middle (AiTM) ciblant les comptes Microsoft 365. Comme Tycoon 2FA, il s’appuie sur Telegram pour la communication et la transmission des données volées.

Sneaky 2FA dispose d’un mécanisme de vérification qui lui permet de s’assurer que la cible est bien un utilisateur légitime et non un outil de sécurité, un bot ou un chercheur en cybersécurité. Si la cible est suspecte, elle est redirigée vers un site inoffensif. Dans le cas contraire, le service exploite la fonctionnalité « autograb » de Microsoft 365 pour remplir automatiquement les champs de connexion du faux formulaire de phishing avec l’adresse e-mail de la victime.

« Les plateformes de phishing-as-a-service deviennent de plus en plus sophistiquées et parviennent mieux à échapper aux dispositifs de détection, rendant ces attaques non seulement plus difficiles à repérer, mais aussi plus dommageables », explique Saravanan Mohankumar, chercheur chez Barracuda. « Une stratégie de défense avancée, combinant détection basée sur l’IA et le machine learning, une culture de cybersécurité renforcée et des politiques rigoureuses d’accès et d’authentification, est essentielle pour protéger les entreprises et leurs employés contre ces menaces. »