Invisible pour les outils de détection, conçu pour échapper aux yeux avertis des analystes, Tycoon2FA incarne la nouvelle génération du phishing professionnel prêt à l'emploi. Derrière son apparente simplicité, une mécanique bien rodée qui cible les comptes Microsoft 365 avec méthode.
Il ne fait pas de bruit, mais il passe partout. Tycoon2FA, c’est le genre de kit de phishing qui ne paie pas de mine au premier abord, mais que les équipes de sécurité connaissent bien. Détecté pour la première fois en 2023 par Sekoia, il s’est rapidement taillé une réputation dans le petit monde du phishing-as-a-service (PhaaS) en ciblant efficacement les comptes Microsoft 365. À l’époque, son mode opératoire restait assez classique : fausses pages de connexion, CAPTCHA pour faire sérieux, exfiltration des identifiants et codes A2F en temps réel.
Unicode, CAPTCHA sur mesure, anti-debug et SVG : bienvenue dans le phishing nouvelle génération
Mais en quelques mois, Tycoon2FA a clairement changé de braquet. D’après Trustwave, le kit a peaufiné ses méthodes pour mieux échapper aux protections mises en place côté entreprise. Le code malveillant n’est plus seulement hébergé à distance : il est directement injecté dans les pages piégées, dissimulé dans du JavaScript truffé de caractères Unicode invisibles. Assez discret pour échapper aux outils de détection, et trop fastidieux pour donner envie de l’inspecter ligne par ligne.
Même stratégie côté CAPTCHA. Le recours à Cloudflare Turnstile a été abandonné au profit d’un système HTML5 généré localement, avec des éléments visuels légèrement modifiés à chaque affichage. Moins de dépendances, plus de contrôle, et une détection automatisée plus difficile.
Et pour les curieux qui tenteraient quand même une analyse manuelle, Tycoon2FA embarque maintenant un module anti-debug. PhantomJS, Burp Suite ou autres raccourcis dev tools déclenchent une redirection automatique vers une page neutre ou un site légitime, ce qui permet au kit de continuer à opérer au nez et à la barbe des analystes travaillant en environnements en tests.
En parallèle, les campagnes liées à Tycoon2FA misent de plus en plus sur les fichiers SVG comme vecteurs d’attaque, Trustwave estimant que leur usage a bondi de 1 800% en un an seulement. Derrière ces éléments a priori banals – une alerte Teams, un fichier partagé OneDrive –, on trouve, là encore, du JavaScript obfusqué, parfois encodé ou chiffré (base64, ROT13, XOR) pour corser l’analyse. Une fois exécuté par le navigateur, le script redirige la victime vers une page de phishing clonée, et l’internaute, pensant consulter une note vocale Teams, finit par saisir ses identifiants Microsoft 365 et, dans le cas de pages piégées en temps réel, son code d’authentification à deux facteurs.
Se protéger : filtrer, renforcer, et surtout ne pas baisser la garde
Bref, le phishing version 2025 ne se contente plus d’une fausse page de login bricolée sur un coin de table, et ça n’est pas bien réjouissant. Il mime les services Microsoft, déjoue les CAPTCHA, contourne l’analyse automatisée et s’adapte aux environnements de test. Et comme les fichiers SVG passent encore trop souvent entre les mailles du filet, les internautes baissent la garde. Alors, on fait quoi ?
D’abord, on évite de cliquer sur tout fichier joint suspect (SVG notamment), même s’il semble provenir d’une source interne. En cas de doute, toujours vérifier directement auprès de l'expéditeur. À titre préventif, les entreprises peuvent aussi configurer leurs passerelles mail pour bloquer ou isoler ce type de fichier, encore peu utilisé à des fins légitimes.
Ensuite, on renforce l’authentification. Oui, même si Tycoon2FA intercepte les codes A2F, tout n’est pas perdu : des méthodes comme les clés FIDO2 ou les tokens physiques échappent justement à ce type d’interception. Ce n’est pas la panacée, mais c’est aujourd’hui l’un des moyens les plus fiables de résister aux attaques de type man-in-the-middle.
Enfin, on reste vigilant sur les comportements suspects. Une redirection vers une page Microsoft après l’ouverture d’un fichier audio ? Un CAPTCHA étrange ou un site qui demande deux fois vos identifiants ? Voilà autant de signaux faibles qu’il vaut mieux ne pas ignorer. Personne ne vous en voudra jamais de solliciter le service sécurité ou l’équipe IT de votre entreprise pour demander confirmation. Mieux vaut lever un doute que perdre un compte, n'est-ce pas.
Sources : Trustwave [1], Trustwave [2]
