Unit 42 encontró muestras de un tipo de spyware hasta ahora desconocido y lo bautizó como LANDFALL. Dichas muestras se encontraban en archivos de imagen DNG (Digital Negative) malformados a los que se había adjuntado un archivo ZIP. La carga útil (el spyware) se extraía y se ejecutaba cuando una biblioteca de imágenes de Samsung vulnerable analizaba la imagen.  

A juzgar por los metadatos de los envíos y las direcciones IP, la campaña no parece ser un malware de difusión masiva, sino que parece estar dirigida a objetivos específicos. Las víctimas parecen concentrarse en algunas zonas de Oriente Medio (Marruecos, Irán, Irak, Turquía, etc.).  

 La vulnerabilidad (el núcleo técnico)  

Los problemas de escritura fuera de límites en la biblioteca de procesamiento de imágenes de Samsung libimagecodec.quram.so dan lugar a la ejecución de código arbitrario de forma remota. A este fallo se le asignó una puntuación de gravedad alta y el identificador CVE-2025-21042 (CVSS 8,8). Esta vulnerabilidad significa que una imagen malformada puede utilizarse para hacer que un dispositivo ejecute código arbitrario.  

Se incrustó un archivo ZIP en la imagen DNG y, cuando el analizador vulnerable gestionó incorrectamente la imagen, extrajo y ejecutó código de los archivos de la biblioteca compartida (.so) contenidos en el archivo. Así fue como se liberó y ejecutó LANDFALL.  

 Método de entrega: por qué era peligroso  

Probablemente, los archivos DNG maliciosos se enviaron a través de WhatsApp (Unit 42 señaló que el patrón de ataque se asemejaba a exploits de imagen de «zero-click» anteriores). La vulnerabilidad en el análisis de imágenes significaba que el exploit era de «zero-click» (la víctima no necesitaba interactuar con la imagen) si la aplicación de mensajería o el teléfono analizaban o generaban la miniatura de la imagen automáticamente.

Eso lo hace sigiloso y potente.  

 Qué puede hacer LANDFALL (capacidades)  

Unit 42 y otros informes muestran que LANDFALL proporcionaba capacidades de vigilancia exhaustivas similares a las del spyware comercial:  

Acceder a fotos, archivos, contactos y registros de llamadas.  

Grabar audio desde el micrófono.  

Informar de la ubicación precisa (GPS).  

Enviar datos a los servidores de comando y control que controla el atacante.

Los marcos de vigilancia aquí descritos son indicativos de las capacidades denominadas «de nivel comercial» de LANDFALL.  

Dispositivos afectados  

Los registros de telemetría de Unit 42 muestran que varios modelos de teléfonos Samsung Galaxy se ven afectados. Los informes señalaban específicamente las series Galaxy S22, S23 y S24, así como los modelos Z Fold 4 y Z Flip 4, entre otros modelos Fold y Flip. La vulnerabilidad de seguridad afectaba a varias versiones de la biblioteca de procesamiento de imágenes de Samsung y permaneció sin solucionar hasta que Samsung publicó un parche.  

 Cronología de la actividad y subsanación de las vulnerabilidades  

El informe de Unit 42 indicaba que el análisis de la actividad LANDFALL comenzó a mediados de 2024, con muestras capturadas en 2024 y a principios de 2025 y subidas a VirusTotal.  

En 2025, Samsung publicó un parche para CVE-2025-21042. Tal y como señaló Unit 42, Samsung corrigió efectivamente la vulnerabilidad en abril de 2025. CVE-2025-21043, otra vulnerabilidad relacionada en la misma biblioteca, se corrigió posteriormente. Los dispositivos actualizados tras esos parches no deberían ser vulnerables a este exploit específico.  

 Atribución  

La designación de LANDFALL como «de grado comercial» por parte de Unit 42 implica que probablemente se trate de malware producido y/o vendido por un proveedor de vigilancia, y no por un ciberdelincuente de bajo nivel. Aun así, no se ha hecho pública la atribución ni se ha nombrado a la empresa o al Estado implicados en los ataques. Es habitual que los investigadores se muestren cautelosos a la hora de atribuir la autoría, a menos que posean pruebas sólidas.

 Posibles indicadores de compromiso (IoC) y pruebas relevantes

En el análisis forense de dispositivos, es posible encontrar archivos de imagen DNG malformados a los que se han añadido secciones ZIP. 

También puede haber enlaces salientes a algunas direcciones IP o dominios sospechosos de comando y control descritos en el apéndice de Unit 42. 

También puede haber registros inesperados de uso del micrófono, nuevos binarios o bibliotecas compartidas en el almacenamiento de las aplicaciones, y discrepancias dentro de las aplicaciones en cuanto al uso inusual de la batería o de los datos. 

Consulte el apéndice técnico de Unit 42 para conocer las direcciones IP, los hash y los nombres de archivo exactos. Las reglas YARA del informe también proporcionan esta información. 

 Disuasión y detección (medidas prácticas) 

Para mitigar los riesgos, todos deberán tomar algunas medidas (teléfonos/usuarios habituales): 

Actualice su teléfono. Instale las actualizaciones de seguridad de Samsung/Android, que corrigen el fallo explotado por LANDFALL (a partir de abril de 2025). Al realizar esta actualización, eliminará la vulnerabilidad específica. 

Evite abrir imágenes de remitentes desconocidos. Aunque se trate de un ataque «zero-click», no guarde ni vea imágenes de origen desconocido y elimine cualquier archivo sospechoso. 

Utilice tiendas de aplicaciones oficiales y asegúrese de que las aplicaciones (incluidas las de mensajería) se actualicen periódicamente.

Si cree que su dispositivo puede estar comprometido (comportamiento inusual, batería que se agota rápidamente o costes de datos excesivos sin explicación), restablezca los ajustes de fábrica tras hacer una copia de seguridad de sus archivos más importantes y cambie todas las contraseñas importantes en otro dispositivo. Si cree que puede ser un objetivo de alto riesgo, debería buscar ayuda profesional.  

Para organizaciones y equipos de seguridad:  

Evalúe y aplique lo antes posible los parches de seguridad de Samsung, y confirme el estado de los parches en todos los dispositivos gestionados.  

Implemente la detección de amenazas en dispositivos móviles/EDR y busque los artefactos de archivos y las anomalías de comportamiento capturados en el informe de Unit 42.  

Compruebe la telemetría en busca de los dominios/IP de los indicadores de compromiso (IoC) y aplique el bloqueo adecuado.  

Si observa actividad sospechosa, comparta los IOC con sus equipos de respuesta a incidentes y con los CSIRT nacionales.  

¿Qué gravedad tiene esto? (evaluación de riesgos)  

Técnicamente es grave: la combinación de un zero-day, un zero-click y una vigilancia total tiene un gran impacto para las personas afectadas.  

Prácticamente limitado: se debe a que se utilizó en campañas dirigidas, y no a un brote de espionaje masivo generalizado. Dado que los parches para esta vulnerabilidad se publicaron en abril de 2025, el riesgo inmediato para los usuarios con dispositivos actualizados es bajo. Sin embargo, los dispositivos sin parches o más antiguos seguirán estando en riesgo.