A pesar de que una operación policial internacional desmanteló la plataforma de phishing **Tycoon2FA** en marzo, la operación maliciosa fue reconstruida sobre nueva infraestructura y rápidamente regresó a sus niveles de actividad habituales. A principios de este mes, **Abnormal Security** confirmó que **Tycoon2FA** había vuelto a la normalidad e incluso añadió nuevas capas de ofuscación para fortalecer su resiliencia contra nuevos intentos de interrupción. A finales de abril, se observó a **Tycoon2FA** en una campaña que aprovechó los flujos de concesión de autorización de dispositivos de OAuth 2.0 para comprometer cuentas de **Microsoft 365**, lo que indica que el operador continúa desarrollando el kit. El phishing de códigos de dispositivo es un tipo de ataque en el que los actores de amenazas envían una solicitud de autorización de dispositivo al proveedor del servicio objetivo y reenvían el código generado a la víctima, engañándola para que lo ingrese en la página de inicio de sesión legítima del servicio. Hacerlo autoriza al atacante a registrar un dispositivo no autorizado en la cuenta de **Microsoft 365** de la víctima, dándole acceso ilimitado a los datos y servicios de la víctima, incluyendo correo electrónico, calendario y almacenamiento de archivos en la nube. **Push Security** advirtió recientemente que este tipo de ataque ha aumentado significativamente este año, respaldado por numerosas plataformas de phishing-as-a-service (PhaaS) y kits privados. Un informe más reciente de **Proofpoint** registra un aumento similar en el uso de esta táctica. ### Tycoon2FA Agrega Phishing de Códigos de Dispositivo Según una nueva investigación de la empresa de detección y respuesta gestionada **eSentire**, **Tycoon2FA** confirma que el phishing de códigos de dispositivo se ha vuelto muy popular entre los ciberdelincuentes. "El ataque comienza cuando una víctima hace clic en una URL de seguimiento de clics de **Trustifi** en un correo electrónico señuelo y culmina con la víctima otorgando sin saberlo tokens OAuth a un dispositivo controlado por el atacante a través del flujo de inicio de sesión de dispositivo legítimo de **Microsoft** en microsoft.com/devicelogin", explica **eSentire**. "Conectando esos dos puntos finales hay una cadena de entrega dentro del navegador de cuatro capas, cuya técnica de **Tycoon 2FA** es prácticamente inalterada desde la variante de retransmisión de credenciales TRU documentada en abril de 2025 y la variante posterior al desmantelamiento documentada en abril de 2026." **Trustifi** es una plataforma legítima de seguridad de correo electrónico que proporciona una gama de herramientas integradas en varios servicios de correo electrónico, incluyendo los de **Microsoft** y **Google**. Sin embargo, **eSentire** no sabe cómo los atacantes llegaron a usar **Trustifi**. Según los investigadores, el ataque utiliza un correo electrónico de phishing con temática de facturas que contiene una URL de seguimiento de **Trustifi** que redirige a través de **Trustifi**, **Cloudflare Workers** y varias capas de JavaScript ofuscado, llevando a la víctima a una página falsa de CAPTCHA de **Microsoft**. La página de phishing recupera un código de dispositivo OAuth de **Microsoft** del backend del atacante e instruye a la víctima a copiarlo y pegarlo en 'microsoft.com/devicelogin', después de lo cual la víctima completa la autenticación multifactor (MFA) por su parte. Después de este paso, **Microsoft** emite tokens de acceso y actualización OAuth al dispositivo controlado por el atacante.  *Fuente: eSentire* El kit de phishing **Tycoon2FA** incluye una extensa protección contra investigadores y escaneo automatizado, detectando Selenium, Puppeteer, Playwright, Burp Suite, bloqueando proveedores de seguridad, VPNs, sandboxes, rastreadores de IA y proveedores de nube, y utilizando trampas de tiempo de depurador. Las solicitudes de dispositivos que indican un entorno de análisis se redirigen automáticamente a una página legítima de **Microsoft**, dice **eSentire**. Los investigadores han descubierto que la lista de bloqueo del kit contiene actualmente 230 nombres de proveedores y se actualiza constantemente. **eSentire** recomienda deshabilitar el flujo de código de dispositivo OAuth cuando no sea necesario, restringir los permisos de consentimiento de OAuth, requerir la aprobación del administrador para aplicaciones de terceros, habilitar la Evaluación Continua de Acceso (CAE) y aplicar políticas de acceso a dispositivos compatibles. Adicionalmente, los investigadores recomiendan monitorear los registros de Entra para la autenticación de deviceCode, el uso de **Microsoft** Authentication Broker y los agentes de usuario de Node.js. **eSentire** ha publicado un conjunto de [indicadores de compromiso](http://github.com/eSentire/iocs/blob/main/Tycoon2FA/Tycoon2fa-iocs-03-23-2026.txt) (IoCs) para los últimos ataques de **Tycoon2FA** para ayudar a los defensores a proteger sus entornos.