L'équipe Unit 42 a découvert des échantillons d'un type de logiciel espion encore inconnu et l'a baptisé « LANDFALL ». Ces échantillons étaient contenus dans des fichiers image DNG (Digital Negative) mal formés, auxquels était jointe une archive ZIP. La charge utile (le logiciel espion) était extraite et exécutée lorsqu'une bibliothèque d'images Samsung vulnérable analysait l'image.
D’après les métadonnées des soumissions et les adresses IP, cette campagne ne semble pas être une attaque de masse à grande échelle, mais plutôt une opération ciblée. Les victimes semblent se concentrer dans certaines régions du Moyen-Orient (Maroc, Iran, Irak, Turquie, etc.).
La vulnérabilité (le cœur technique)
Des problèmes d’écriture hors limites dans la bibliothèque de traitement d’images de Samsung, libimagecodec.quram.so, conduisent à l’exécution de code arbitraire à distance. Cette faille s’est vu attribuer un score de gravité élevé et le numéro CVE-2025-21042 (CVSS 8,8). Cette vulnérabilité signifie qu’une image mal formée peut être utilisée pour forcer un appareil à exécuter du code arbitraire.
Une archive ZIP était intégrée à l’image DNG, et lorsque l’analyseur vulnérable traitait mal l’image, il extrayait et exécutait le code provenant des fichiers de bibliothèque partagée (.so) contenus dans l’archive. C’est ainsi que LANDFALL a été déployé et exécuté.
Mode de diffusion — pourquoi cela était dangereux
Les fichiers DNG malveillants ont probablement été envoyés via WhatsApp (Unit 42 a établi un lien entre ce mode d’attaque et de précédentes exploitations d’images de type « zéro clic »). La vulnérabilité liée à l’analyse de l’image signifiait que l’exploitation était de type « zéro clic » (la victime n’avait pas besoin d’interagir avec l’image) si l’application de messagerie ou le téléphone analysait l’image ou générait automatiquement une vignette.
Cela rendait l’attaque furtive et puissante.
Ce que LANDFALL est capable de faire (fonctionnalités)
Unit 42 et d’autres rapports montrent que LANDFALL offrait des capacités de surveillance complètes, similaires à celles des logiciels espions commerciaux :
Accéder aux photos, fichiers, contacts et journaux d’appels.
Enregistrer le son via le microphone.
Communiquer la position précise (GPS).
Renvoyer des données vers des serveurs de commande et de contrôle contrôlés par l'attaquant.
Les infrastructures de surveillance décrites ici illustrent les capacités dites « de niveau commercial » de LANDFALL.
Appareils concernés
Les enregistrements télémétriques de l’Unit 42 montrent que plusieurs modèles de téléphones Samsung Galaxy sont concernés. Les rapports mentionnent spécifiquement les séries Galaxy S22, S23 et S24, ainsi que les Z Fold 4 et Z Flip 4 parmi certains modèles Fold et Flip. La faille de sécurité concernait plusieurs versions de la bibliothèque de traitement d’images de Samsung et n’a pas été corrigée avant que Samsung ne publie un correctif.
Chronologie des activités et correction des failles
Le rapport de l’Unit 42 indique que l’analyse des activités de LANDFALL a débuté mi-2024, des échantillons ayant été capturés en 2024 et début 2025, puis téléchargés sur VirusTotal.
En 2025, Samsung a publié un correctif pour la vulnérabilité CVE-2025-21042. Comme l’a noté l’Unit 42, la vulnérabilité a effectivement été corrigée par Samsung en avril 2025. La vulnérabilité CVE-2025-21043, une autre faille liée dans la même bibliothèque, a été corrigée par la suite. Tout appareil mis à jour après ces correctifs ne devrait plus être vulnérable à cet exploit spécifique.
Attribution
Le fait qu’Unit 42 qualifie LANDFALL de « de niveau commercial » laisse entendre qu’il s’agit probablement d’un logiciel malveillant produit et/ou vendu par un fournisseur de solutions de surveillance, et non par un cybercriminel de bas étage. Toutefois, aucune attribution publique ni aucune identification de l’entreprise ou de l’État impliqué dans ces attaques n’a été faite. Il est courant que les chercheurs restent prudents quant à l’attribution, à moins de disposer de preuves solides.
Indicateurs de compromission (IoC) possibles et preuves pertinentes
Lors de l’analyse forensic d’un appareil, vous pouvez rencontrer des fichiers image DNG mal formés auxquels des sections ZIP ont été ajoutées.
Il peut également y avoir des liaisons sortantes vers certaines adresses IP ou certains domaines suspects de type « command-and-control » répertoriés dans l’annexe de l’Unit 42.
On peut également observer des enregistrements inattendus d’utilisation du microphone, de nouveaux binaires ou des bibliothèques partagées dans le stockage des applications, ainsi que des anomalies au sein des applications concernant une consommation inhabituelle de la batterie ou des données.
Reportez-vous à l’annexe technique de l’Unit 42 pour connaître les adresses IP, les hachages et les noms de fichiers exacts. Les règles YARA figurant dans le rapport fournissent également ces informations.
Prévention et détection (mesures pratiques)
Pour atténuer les risques, chacun devra prendre certaines mesures (téléphones/utilisateurs lambda) :
Mettez à jour votre téléphone. Installez les mises à jour de sécurité Samsung/Android, qui corrigent la faille exploitée par LANDFALL (à compter d’avril 2025). En effectuant cette mise à jour, vous éliminerez cette vulnérabilité spécifique.
Évitez d’ouvrir des images provenant d’expéditeurs inconnus. Même s’il s’agit d’une attaque « zéro clic », n’enregistrez pas et ne visualisez pas d’images non fiables, et supprimez tout fichier suspect.
Utilisez les boutiques d’applications officielles et assurez-vous que les applications (y compris les applications de messagerie) sont régulièrement mises à jour.
Si vous pensez que votre appareil a pu être compromis (comportement inhabituel, batterie qui se décharge rapidement ou surcoût inexpliqué de données mobiles), effectuez une réinitialisation aux paramètres d’usine après avoir sauvegardé vos fichiers les plus importants, puis modifiez tous vos mots de passe importants depuis un autre appareil. Si vous estimez être une cible à haut risque, vous devriez faire appel à un professionnel.
À l’attention des organisations et des équipes de sécurité :
Évaluez et appliquez dès que possible les correctifs de sécurité Samsung, puis vérifiez l’état des correctifs sur tous les appareils gérés.
Mettez en place un système de détection des menaces sur les appareils mobiles (EDR) et recherchez les artefacts de fichiers et les anomalies de comportement répertoriés dans le rapport Unit 42.
Vérifiez les données télémétriques pour identifier les domaines et adresses IP IoC, puis appliquez les mesures de blocage appropriées.
Si vous observez une activité suspecte, partagez les indicateurs de compromission (IOC) avec vos équipes de réponse aux incidents et les CSIRT nationaux.
Quelle est la gravité de cette menace ? (évaluation des risques)
D’un point de vue technique, la situation est grave : la combinaison d’une faille « zero-day », d’une attaque « zero-click » et d’une surveillance totale a un impact considérable sur les personnes ciblées.
Limité d’un point de vue pratique : en effet, cette vulnérabilité a été exploitée dans le cadre de campagnes ciblées et n’a pas donné lieu à une vague d’espionnage de masse généralisée. Étant donné que les correctifs pour cette vulnérabilité ont été publiés en avril 2025, le risque immédiat pour les utilisateurs disposant d’appareils à jour est faible. Cependant, les appareils non mis à jour ou plus anciens resteront exposés au risque.