
Unit 42 encontró muestras de un tipo de spyware hasta ahora desconocido y lo denominó LANDFALL. Dichas muestras se encontraban en archivos de imagen DNG (Digital Negative) malformados a los que se había adjuntado un archivo ZIP. La carga útil (el spyware) se extraía y se ejecutaba cuando una biblioteca de imágenes de Samsung vulnerable analizaba la imagen.
A juzgar por los metadatos de los envíos y las direcciones IP, la campaña no parece tratarse de un malware de gran alcance, sino que parece estar dirigida a objetivos específicos. Las víctimas parecen concentrarse en algunas zonas de Oriente Medio (Marruecos, Irán, Irak, Turquía, etc.).
La vulnerabilidad (el núcleo técnico)
Los problemas de escritura fuera de límites en la biblioteca de procesamiento de imágenes de Samsung, libimagecodec.quram.so, dan lugar a la ejecución de código arbitrario de forma remota. A este fallo se le asignó una puntuación de gravedad alta y el identificador CVE-2025-21042 (CVSS 8,8). Esta vulnerabilidad implica que una imagen malformada puede utilizarse para hacer que un dispositivo ejecute código arbitrario.
Se incrustó un archivo ZIP en la imagen DNG y, cuando el analizador vulnerable gestionó incorrectamente la imagen, extrajo y ejecutó código de los archivos de la biblioteca compartida (.so) contenidos en el archivo. Así fue como se liberó y ejecutó LANDFALL.
Método de distribución: por qué era peligroso
Probablemente, los archivos DNG maliciosos se enviaron a través de WhatsApp (Unit 42 señaló que el patrón de ataque se asemejaba a exploits de imagen «zero-click» anteriores). La vulnerabilidad en el análisis de imágenes significaba que el exploit era de tipo «zero-click» (la víctima no necesitaba interactuar con la imagen) si la aplicación de mensajería o el teléfono analizaban la imagen o generaban una miniatura de forma automática.
Esto lo hace sigiloso y potente.
Qué puede hacer LANDFALL (capacidades)
Unit 42 y otros informes muestran que LANDFALL ofrecía capacidades de vigilancia exhaustivas similares a las del spyware comercial:
Acceder a fotos, archivos, contactos y registros de llamadas.
Grabar audio desde el micrófono.
Informar de la ubicación precisa (GPS).
Enviar datos a los servidores de mando y control que controla el atacante.
Los marcos de vigilancia aquí descritos son indicativos de las denominadas capacidades «de nivel comercial» de LANDFALL.
Dispositivos afectados
Los registros de telemetría de Unit 42 muestran que varios modelos de teléfonos Samsung Galaxy se ven afectados. Los informes señalaban específicamente las series Galaxy S22, S23 y S24, así como los modelos Z Fold 4 y Z Flip 4, entre otros modelos de la gama Fold y Flip. La vulnerabilidad de seguridad afectaba a varias versiones de la biblioteca de procesamiento de imágenes de Samsung y permaneció sin solucionar hasta que Samsung publicó un parche.
Cronología de la actividad y corrección de las vulnerabilidades
El informe de Unit 42 indicaba que el análisis de la actividad de LANDFALL comenzó a mediados de 2024, y que se capturaron muestras en 2024 y a principios de 2025, que se subieron a VirusTotal.
En 2025, Samsung publicó un parche para CVE-2025-21042. Tal y como señaló Unit 42, Samsung corrigió efectivamente la vulnerabilidad en abril de 2025. La CVE-2025-21043, otra vulnerabilidad relacionada en la misma biblioteca, se corrigió posteriormente. Ningún dispositivo actualizado tras la aplicación de esos parches debería ser vulnerable a este exploit específico.
Atribución
La calificación de LANDFALL como «de nivel comercial» por parte de Unit 42 implica que probablemente se trate de malware producido y/o vendido por un proveedor de sistemas de vigilancia, y no por un ciberdelincuente de bajo nivel. No obstante, no se ha hecho pública ninguna atribución ni se ha identificado a la empresa o al Estado implicados en los ataques. Es habitual que los investigadores se muestren cautelosos a la hora de atribuir la autoría, a menos que dispongan de pruebas sólidas.
Posibles indicadores de compromiso (IoC) y pruebas relevantes
En el análisis forense de dispositivos, es posible encontrar archivos de imagen DNG malformados a los que se han añadido secciones ZIP.
También puede haber enlaces salientes a algunas direcciones IP o dominios sospechosos de comando y control que se describen en el apéndice de Unit 42.
También puede haber registros inesperados de uso del micrófono, nuevos binarios o bibliotecas compartidas en el almacenamiento de las aplicaciones, así como discrepancias en las aplicaciones en cuanto a un consumo inusual de batería o de datos.
Consulte el apéndice técnico de Unit 42 para conocer las direcciones IP, los hash y los nombres de archivo exactos. Las reglas YARA del informe también proporcionan esta información.
Prevención y detección (medidas prácticas)
Para mitigar los riesgos, todo el mundo deberá tomar algunas medidas (teléfonos/usuarios habituales):
Actualiza tu teléfono. Instala las actualizaciones de seguridad de Samsung/Android, que corrigen el fallo explotado por LANDFALL (a fecha de abril de 2025). Al realizar esta actualización, eliminarás la vulnerabilidad específica.
Evita abrir imágenes de remitentes desconocidos. Aunque se trate de un ataque «zero-click», no guardes ni veas imágenes de origen no fiable y elimina cualquier archivo sospechoso.
Utiliza las tiendas de aplicaciones oficiales y asegúrate de que las aplicaciones (incluidas las de mensajería) se actualicen periódicamente.
Si crees que tu dispositivo puede estar comprometido (comportamiento inusual, batería que se agota rápidamente o costes de datos adicionales inexplicables), realiza un restablecimiento de fábrica tras hacer una copia de seguridad de tus archivos más importantes y cambia todas las contraseñas importantes desde otro dispositivo. Si crees que puedes ser un objetivo de alto riesgo, deberías buscar ayuda profesional.
Para organizaciones y equipos de seguridad:
Evalúa y aplica lo antes posible los parches de seguridad de Samsung, y confirma el estado de los parches en todos los dispositivos gestionados.
Implemente soluciones de detección de amenazas en dispositivos móviles/EDR y busque los artefactos de archivo y las anomalías de comportamiento descritas en el informe de Unit 42.
Comprueba la telemetría en busca de los dominios e IP de los indicadores de compromiso (IoC) y aplica el bloqueo adecuado.
Si observa alguna actividad sospechosa, comparta los indicadores de compromiso (IOC) con sus equipos de respuesta a incidentes y con los CSIRT nacionales.
¿Cuál es la gravedad de esto? (evaluación de riesgos)
Técnicamente es grave: la combinación de un ataque de día cero, de clic cero y de vigilancia total tiene un gran impacto para las personas afectadas.
En la práctica, el alcance es limitado: esto se debe a que se utilizó en campañas dirigidas, y no se trata de un brote de espionaje masivo generalizado. Dado que los parches para esta vulnerabilidad se publicaron en abril de 2025, el riesgo inmediato para los usuarios con dispositivos actualizados es bajo. Sin embargo, los dispositivos sin parches o más antiguos seguirán estando en riesgo.
