كشف تقرير حديث عن استئناف الجهات الإجرامية التي تقف وراء منصة “Tycoon2FA” لأنشطة التصيد الاحتيالي التي تستهدف حسابات الخدمات السحابية، وذلك بعد فترة وجيزة من إعلان عملية إنفاذ قانون دولية واسعة النطاق هدفت إلى تعطيل بنيتها التحتية. وتُعد هذه المنصة، التي تعمل بنظام “التصيد كخدمة” (PhaaS)، أحد أبرز الأدوات المستخدمة حاليًا في الهجمات الإلكترونية، مما يجعل استمراريتها مشكلة تدعو للقلق.
وكانت الشرطة الأوروبية (يوروبول) بالتعاون مع سلطات ست دول قد أعلنت في 4 مارس 2026 عن مصادرة 330 نطاقًا حيويًا لعمليات المنصة، في خطوة اعتبرت ضربة قوية ضد خدمات الجريمة الإلكترونية القائمة على الاشتراك. إلا أن الجهات المسؤولة عن “Tycoon2FA” أظهرت سرعة فائقة في إعادة بناء عملياتها، مستأنفة هجماتها بنفس الوتيرة تقريبًا في اليوم ذاته تقريبًا.
استمرار تهديد “Tycoon2FA” بعد حملة التعطيل
ظهرت منصة “Tycoon2FA” لأول مرة في عام 2023، مقدمةً مجموعة أدوات متكاملة للمجرمين الإلكترونيين تمكنهم من تجاوز إجراءات المصادقة متعددة العوامل (MFA). تعتمد المنصة في عملها على تقنيات “المهاجم في الوسط” (AITM)، حيث تتوسط بين الضحية وصفحة تسجيل الدخول الشرعية، مما يسمح لها باعتراض جلسات المصادقة الحية في الوقت الفعلي.
مع منتصف عام 2025، أصبحت “Tycoon2FA” قوة مهيمنة في مشهد التصيد الاحتيالي، حيث شكلت 62% من إجمالي محاولات التصيد التي صدتها مايكروسوفت، وأرسلت ما يزيد عن 30 مليون بريد إلكتروني خبيث في شهر واحد. وتُظهر هذه الأرقام حجم التهديد الذي تمثله المنصة.
أشارت تحليلات أجرتها شركة CrowdStrike إلى انخفاض حاد وقصير الأمد في نشاط حملات “Tycoon2FA” مباشرة بعد عملية التعطيل في 4 مارس 2026. فقد تراجعت المعدلات اليومية إلى 25% فقط من مستوياتها السابقة، ولكن هذا التراجع لم يدم طويلاً.
وبحلول أيام قليلة، عاد النشاط إلى مستوياته المعهودة في أوائل عام 2026، واستؤنفت اختراقات الحسابات السحابية بالكامل. الأهم من ذلك، لم تظهر تكتيكات وتقنيات وإجراءات (TTPs) المنصة أي تغييرات جوهرية بعد عملية التعطيل، مما يشير إلى أن الخدمة الأساسية لم يتم إيقافها بالكامل.
تفاصيل عملية التعطيل وتأثيرها المحدود
قادت مركز الشرطة الأوروبية لمكافحة الجريمة السيبرانية (EC3) عملية 4 مارس، بالتعاون مع أجهزة إنفاذ القانون في لاتفيا وليتوانيا والبرتغال وبولندا وإسبانيا والمملكة المتحدة. جاءت هذه الخطوة بعد عدة أشهر من استهداف أجهزة إنفاذ القانون في سبتمبر 2025 منصة “RaccoonO365″، التي كانت المنافس الرئيسي لـ “Tycoon2FA”.
حتى الآن، لم يتم الإبلاغ عن أي اعتقالات أو مصادرة للأصول المادية المتعلقة بـ “Tycoon2FA”. ويعتقد المحللون أن هذا القصور قد حد من التأثير طويل الأمد لعملية التعطيل بشكل كبير.
تشير سرعة استعادة “Tycoon2FA” لعملياتها إلى مشكلة أوسع تتعلق بعمليات تعطيل البنية التحتية فقط. فعندما لا تعقب مصادرة النطاقات أي اعتقالات، يمكن للمشغلين إعادة بناء عملياتهم بسرعة باستخدام استضافة جديدة ونطاقات إضافية وبنية تحتية محدثة للعناوين البرمجية، دون التأثير بشكل كبير على أعمالهم.
بالنسبة للمؤسسات التي تستخدم خدمات Microsoft 365 أو Google Cloud، فإن هذا يعني أن التهديد لم ينخفض بشكل ملموس، وأن مخاطر التصيد الاحتيالي تظل قائمة.
تكتيكات التصيد بعد التعطيل
بين 4 و 6 مارس 2026، استجابت إحدى فرق CrowdStrike لما لا يقل عن 30 حادثة تصيد احتيالي مشتبه بها مرتبطة بمنصة “Tycoon2FA”، شملت 12 صفحة تصيد احتيالي وصفحات التقاط بيانات اعتماد وهمية.
اتبع مسار الهجوم نمطه المعتاد: رسائل بريد إلكتروني خبيثة توجه الضحايا إلى صفحات CAPTCHA مزيفة، يتم سرقة ملفات تعريف الارتباط للجلسة عند التحقق من CAPTCHA، ويتم استخدام ملف JavaScript مشفر لتوجيه بيانات اعتماد الضحية إلى صفحة تسجيل دخول Microsoft 365 شرعية.
بعد التقاط بيانات الاعتماد ورموز المصادقة متعددة العوامل، تقوم منصة “Tycoon2FA” تلقائيًا بتسجيل الدخول إلى حساب Microsoft EntraID الخاص بالضحية. غالبًا ما استخدمت عمليات تسجيل الدخول الآلية هذه عناوين بروتوكول الإنترنت (IPv6) المرتبطة بمزود خدمة الإنترنت الروماني “M247 Europe SRL”.
استخدم المشغلون الذكاء الاصطناعي التوليدي لإنشاء مواقع ويب مزيفة مقنعة يتم تقديمها للمستخدمين الذين يفشلون في اجتياز عمليات التحقق الجغرافية للمنصة، وهي خطوة مصممة لتصفية باحثي الأمن.
وشملت حملات ما بعد التعطيل أيضًا استخدام خدمات تقصير عناوين URL، وروابط داخل منصات العرض التقديمي الشرعية، وبيئات SharePoint المخترقة من جهات اتصال موثوقة لإعادة توجيه الأهداف نحو البنية التحتية لمنصة “Tycoon2FA”.
كما تم رصد ثمانية من عناوين IPv6 الإحدى عشرة التي لوحظت خلال مارس 2026، وقد ظهرت في أو بعد 1 مارس، مما يشير إلى أن الجهات التهديدية قد حصلت بسرعة على بنية تحتية جديدة بعد عملية التعطيل.
يجب على المؤسسات عدم اعتبار المصادقة متعددة العوامل خط الدفاع الأخير. يتوجب على فرق الأمن مراقبة إنشاء قواعد البريد الإلكتروني المشبوهة ونشاط المجلدات المخفية في Microsoft Exchange بشكل استباقي، حيث تعد هذه علامات مبكرة شائعة لعمليات الاحتيال التجاري المستهدف (BEC). يحتاج الموظفون إلى تدريب مستمر لاكتشاف رسائل التصيد الاحتيالي الموجهة عبر منصات موثوقة أو خدمات تقصير عناوين URL.
كما ينبغي على المؤسسات فرض سياسات الوصول المشروط التي تسجل الدخول من نطاقات IPv6 غير العادية أو المواقع الجغرافية غير المتوقعة. يبقى الرصد المستمر لنشاط تحليل أسماء النطاقات وسجلات المصادقة السحابية أمرًا بالغ الأهمية للكشف المبكر عن الاختراقات المتعلقة بمنصة “Tycoon2FA”.