Proofpoint alerte sur une vague de compromissions orchestrée via la plateforme Tycoon. Cette dernière parvient à contourner l’authentification multifacteur et à infiltrer les environnements Microsoft 365 à grande échelle.
Les chercheurs de Proofpoint mettent en lumière une campagne sophistiquée pour infiltrer des environnements Microsoft 365. Ces attaques permettent aux cybercriminels de contourner l’authentification multifactorielle via des kits de phishing de type « adversary-in-the-middle » (AiTM), comme Tycoon. Plus de 900 organisations et 3 000 comptes ont déjà été ciblés, avec un taux de réussite supérieur à 50 %. Microsoft prévoit des mises à jour importantes dès l’été 2025 pour freiner ces attaques.
Tycoon, un phishing-as-a-service redoutable
Tycoon, une plateforme de phishing « clé en main », est au cœur d’une campagne qui inquiète la communauté cybersécurité. L’outil se distingue par sa capacité à intercepter en temps réel les identifiants et les cookies de session. Cela lui permet de contourner l’authentification multifacteur (MFA). Proofpoint précise que « Tycoon proxies login pages, enabling threat actors to capture primary credentials and session tokens in a single attack flow ». Une technique désormais fréquente dans les attaques AiTM (adversary-in-the-middle), mais dont Tycoon a perfectionné l’industrialisation.
Axios, l’indice clé des attaques qui visent Microsoft 365
Les chercheurs de Proofpoint ont attribué les opérations les plus récentes à l’utilisation du client HTTP Axios, signature caractéristique de Tycoon. « Les opérations qui ciblent Microsoft 365 menées par Tycoon, identifiables par l’utilisation du client HTTP Axios, restent efficaces pour compromettre des comptes d’entreprises » souligne le rapport. L’enquête révèle une efficacité inquiétante. Depuis janvier 2025, près de 3 000 comptes ont été visés dans plus de 900 environnements Microsoft 365, avec un taux de réussite supérieur à 50 %. Ce chiffre reflète la maturité atteinte par le modèle de phishing-as-a-service. Des cybercriminels y ont recours par la mutualisation de leurs infrastructures afin de maximiser leur impact.
Une infrastructure en mutation pour brouiller les pistes
Autre fait marquant : une évolution stratégique détectée fin avril 2025. Proofpoint note que les acteurs derrière Tycoon déplacent leurs serveurs vers des fournisseurs américains. C’est probablement pour échapper aux systèmes de détection déclenchés par les précédents relais russes. Ce pivot témoigne d’un niveau d’adaptabilité préoccupant. La lutte contre ces infrastructures impose une vigilance constante, en particulier du côté des hébergeurs et des services cloud.
Article basé sur un communiqué de presse reçu par la rédaction.
