Tycoon2FA 피싱 플랫폼, 최근 경찰 차단 이후 복귀

Source: Bleeping Computer

배경

Tycoon2FA는 Microsoft 365와 Gmail 계정을 표적으로 하는 피싱‑서비스(PhaaS) 플랫폼입니다. 이 플랫폼은 중간자(adversary‑in‑the‑middle) 기법을 사용해 2단계 인증(2FA)을 우회합니다. 이 서비스는 약 2년 전 Sekoia에 의해 처음 문서화되었으며, 이후 Trustwave가 보고한 바와 같이 새로운 기능이 추가되었습니다.

Microsoft는 Tycoon2FA가 월 3천만 건의 피싱 이메일을 생성했으며, 이는 Microsoft가 차단한 전체 이메일의 **62 %**에 해당한다고 보고했습니다.

차단 및 복구

2026년 3월 4일, Microsoft가 주도하고 Europol 및 파트너들이 참여한 작전으로 Tycoon2FA의 백본 인프라를 구성하던 330개 도메인이 압수되었습니다. 여기에는 제어판과 피싱 페이지가 포함됩니다. 해당 작전은 BleepingComputer 기사에서 자세히 다루었습니다: Europol coordinated action disrupts Tycoon2FA phishing platform.

CrowdStrike는 활동량이 일시적으로 감소한 것을 관찰했습니다:

“Falcon Complete는 차단 이후 Tycoon2FA 캠페인 활동량이 단기적으로 감소했으며, 2026년 3월 4일과 5일의 일일 볼륨이 차단 전 수준의 25 %로 줄어들었다.” – CrowdStrike 보고서

하지만 며칠 안에 플랫폼은 이전과 같은 운영 규모로 복귀했으며, 2026년 초에 보였던 클라우드 침해 및 복구 활동 수준을 다시 이어갔습니다.

지속적인 활동

CrowdStrike에 따르면 Tycoon2FA는 크게 변하지 않은 기술, 전술 및 절차(TTP)를 계속 사용하고 있습니다. 이 플랫폼은 다음과 같은 불법 활동을 지원합니다:

• 비즈니스 이메일 침해(BEC)
• 이메일 스레드 탈취
• 클라우드 계정 탈취
• 악성 SharePoint 링크 배포

차단 이후 진행된 캠페인에서는 다음을 활용했습니다:

• 악성 URL 및 URL 단축 서비스
• 리디렉션을 위해 악용된 합법적인 프레젠테이션 도구
• 탈취된 도메인

Source: CrowdStrike

침해 후 지표

관찰된 침해 후 행동에는 다음이 포함됩니다:

• 메시지를 전달하거나 숨기기 위한 받은 편지함 규칙 생성
• 사기성 이메일을 위한 숨김 폴더
• BEC 작업을 위한 사전 준비

결론

Tycoon2FA의 빠른 재등장은 체포나 물리적 압수 없이 PhaaS 플랫폼을 차단하는 것이 얼마나 어려운지를 보여줍니다. 피싱 서비스에 대한 수요가 계속 높게 유지되는 한, 운영자들은 압수된 인프라를 신속히 교체하고 불법 활동을 지속할 수 있습니다.