LEBIGDATA.FR I.A, Cloud & Cybersécurité
Une nouvelle campagne de phishing cible Microsoft 365. Elle exploite de fausses applications OAuth afin de contourner l’authentification multifactorielle (MFA). Proofpoint alerte sur plus de 3 000 tentatives de compromission réussies en 2025.
Le kit de phishing Tycoon, largement utilisé par des cybercriminels via un modèle « phishing-as-a-service », connaît une montée en puissance inquiétante. Selon Proofpoint, près de 3 000 comptes ont été ciblés depuis janvier 2025, avec un taux de compromission supérieur à 50 %. Une mutation stratégique de son infrastructure complique encore la détection par les entreprises.
Une plateforme de phishing capable de contourner la MFA
Tycoon s’impose comme l’un des outils les plus redoutables du marché clandestin. Conçu pour intercepter en temps réel identifiants et cookies de session, il contourne efficacement l’authentification multifacteur. « Comme d’autres plateformes AiTM, Tycoon proxifie les pages de connexion, permettant aux acteurs malveillants de capturer identifiants primaires et jetons de session en un seul flux d’attaque », rappelle Proofpoint. Cela s’inscrit dans une tendance plus large : l’explosion des services de cybercriminalité clé en main. Là, l’efficacité prime sur la complexité technique.
Axios, l’indicateur clé des attaques contre Microsoft 365
Les chercheurs attribuent la majorité des compromissions à une variante qui utilise le client HTTP Axios. Cet élément est important pour relier ces campagnes au framework Tycoon. « Selon Proofpoint, les opérations ciblant Microsoft 365, identifiées par l’usage d’Axios, restent redoutables pour compromettre les comptes d’entreprise. » En janvier 2025, un rapport avait déjà exposé ce lien. Ce modèle d’attaque illustre l’évolution des menaces : plutôt que d’exploiter des vulnérabilités, les cybercriminels misent sur l’ingénierie sociale et des proxys sophistiqués. Résultat : un taux de succès supérieur à 50 %, avec près de 3 000 comptes touchés dans plus de 900 environnements Microsoft 365.
Un changement d’infrastructure pour brouiller les pistes
En avril 2025, Tycoon a franchi une nouvelle étape. « Un service DCH (Data Center Hosting) basé aux États-Unis semble avoir remplacé les proxys russes auparavant utilisés », précise Proofpoint. Ce pivot stratégique survient après la médiatisation de son infrastructure initiale et traduit une volonté claire : échapper aux radars des systèmes de détection. Cette évolution reflète une constante du cybercrime : l’adaptation permanente pour maximiser l’efficacité des campagnes. Pour les entreprises, le défi est de taille puisque la protection des identités devient prioritaire face à des attaques qui combinent phishing avancé et vol de session.
Article basé sur un communiqué de presse reçu par la rédaction.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
