Unit 42 a découvert des échantillons d'un type de logiciel espion encore inconnu et l'a baptisé LANDFALL. Ces échantillons étaient contenus dans des fichiers image DNG (Digital Negative) mal formés, auxquels était jointe une archive ZIP. La charge utile (le logiciel espion) était extraite et exécutée lorsqu'une bibliothèque d'images Samsung vulnérable analysait l'image.  

D'après les métadonnées et les adresses IP des soumissions, cette campagne ne semble pas être un malware de masse, mais plutôt une opération ciblée. Les victimes semblent se concentrer dans certaines régions du Moyen-Orient (Maroc, Iran, Irak, Turquie, etc.).  

 La vulnérabilité (le cœur technique)  

Des problèmes d'écriture hors limites dans la bibliothèque de traitement d'images Samsung libimagecodec.quram.so conduisent à l'exécution de code arbitraire à distance. Cette faille a reçu un score de gravité élevé et s'est vu attribuer le numéro CVE-2025-21042 (CVSS 8,8). Cette vulnérabilité signifie qu'une image mal formée peut être utilisée pour forcer un appareil à exécuter un code arbitraire.  

Une archive ZIP était intégrée à l'image DNG, et lorsque l'analyseur vulnérable traitait mal l'image, il extrayait et exécutait le code provenant des fichiers de bibliothèque partagée (.so) contenus dans l'archive. C'est ainsi que LANDFALL a été déployé et exécuté.  

 Mode de diffusion — pourquoi cela était dangereux  

Les fichiers DNG malveillants ont probablement été envoyés via WhatsApp (Unit 42 a établi un lien entre ce mode d'attaque et des exploits d'images « zero-click » antérieurs). La vulnérabilité liée à l'analyse de l'image signifiait que l'exploit était de type « zero-click » (la victime n'avait pas besoin d'interagir avec l'image) si l'application de messagerie ou le téléphone analysait l'image ou générait automatiquement une vignette.

Cela le rend furtif et puissant.  

 Ce que LANDFALL peut faire (capacités)  

Unit 42 et d'autres rapports montrent que LANDFALL offrait des capacités de surveillance complètes similaires à celles des logiciels espions commerciaux :  

Accéder aux photos, fichiers, contacts et journaux d'appels.  

Enregistrer le son provenant du microphone.  

Signaler la position précise (GPS).  

Renvoyer des données vers les serveurs de commande et de contrôle contrôlés par l'attaquant.

Les infrastructures de surveillance décrites ici témoignent des capacités dites « de niveau commercial » de LANDFALL.  

Appareils concernés  

Les enregistrements télémétriques de l'Unité 42 montrent que plusieurs modèles de téléphones Samsung Galaxy sont concernés. Les rapports mentionnent spécifiquement les séries Galaxy S22, S23 et S24, ainsi que les Z Fold 4 et Z Flip 4 parmi certains modèles Fold et Flip. La faille de sécurité concernait plusieurs versions de la bibliothèque de traitement d'images de Samsung et n'a pas été corrigée avant que Samsung ne publie un correctif.  

 Chronologie des activités et correction des failles  

Le rapport de l'Unit 42 indique que l'analyse des activités de LANDFALL a débuté mi-2024, des échantillons ayant été capturés en 2024 et début 2025, puis téléchargés sur VirusTotal.  

En 2025, Samsung a publié un correctif pour CVE-2025-21042. Comme l'a noté Unit 42, la vulnérabilité a effectivement été corrigée par Samsung en avril 2025. CVE-2025-21043, une autre vulnérabilité liée dans la même bibliothèque, a été corrigée par la suite. Tout appareil mis à jour après ces correctifs ne devrait plus être vulnérable à cet exploit spécifique.  

 Attribution  

Le fait qu'Unit 42 qualifie LANDFALL de « de qualité commerciale » implique qu'il s'agit probablement d'un logiciel malveillant produit et/ou vendu par un fournisseur de solutions de surveillance, et non par un cybercriminel de bas étage. Cependant, aucune attribution publique ni aucune identification de l'entreprise ou de l'État impliqué dans les attaques n'a été faite. Il est courant que les chercheurs restent prudents quant à l'attribution, à moins de disposer de preuves solides.

 Indicateurs de compromission (IoC) possibles et preuves pertinentes

Dans le cadre de l'analyse forensic des appareils, vous pouvez rencontrer des fichiers image DNG malformés auxquels des sections ZIP ont été ajoutées. 

Il peut également y avoir des liens sortants vers certaines adresses IP ou certains domaines suspects de commande et de contrôle, décrits dans l'annexe de l'Unité 42. 

Il peut également y avoir des enregistrements d'utilisation inattendue du microphone, de nouveaux binaires ou des bibliothèques partagées dans le stockage des applications, ainsi que des anomalies au sein des applications concernant une utilisation inhabituelle de la batterie ou des données. 

Reportez-vous à l'annexe technique de l'Unité 42 pour connaître les adresses IP, les hachages et les noms de fichiers exacts. Les règles YARA figurant dans le rapport fournissent également ces informations. 

 Prévention et détection (mesures pratiques) 

Pour atténuer les risques, chacun devra prendre certaines mesures (téléphones/utilisateurs lambda) : 

Mettez à jour votre téléphone. Installez les mises à jour de sécurité Samsung/Android, qui corrigent la faille exploitée par LANDFALL (à partir d'avril 2025). En effectuant cette mise à jour, vous éliminerez cette vulnérabilité spécifique. 

Évitez d'ouvrir des images provenant d'expéditeurs inconnus. Même s'il s'agit d'une attaque « zero-click », ne sauvegardez pas et ne consultez pas d'images non fiables, et supprimez tout fichier suspect. 

Utilisez les boutiques d'applications officielles et assurez-vous que les applications (y compris les applications de messagerie) sont régulièrement mises à jour.

Si vous pensez que votre appareil a été compromis (comportement inhabituel, batterie qui se décharge rapidement ou frais de données supplémentaires inexpliqués), effectuez une réinitialisation d'usine après avoir sauvegardé vos fichiers les plus importants, et modifiez tous vos mots de passe importants sur un autre appareil. Si vous pensez être une cible à haut risque, vous devriez faire appel à un professionnel.  

Pour les organisations / équipes de sécurité :  

Évaluez et appliquez dès que possible les correctifs de sécurité Samsung, et vérifiez l'état des correctifs sur tous les appareils gérés.  

Mettez en place un système de détection des menaces sur les appareils mobiles/EDR, et recherchez les artefacts de fichiers et les anomalies de comportement répertoriés dans le rapport Unit 42.  

Vérifiez les données de télémétrie pour les domaines/adresses IP IoC et appliquez les mesures de blocage appropriées.  

Si vous observez une activité suspecte, partagez les indicateurs de compromission (IoC) avec vos équipes d'intervention en cas d'incident et les CSIRT nationaux.  

Quelle est la gravité de la situation ? (évaluation des risques)  

D'un point de vue technique, la situation est grave : la combinaison d'une faille zero-day, d'une attaque zero-click et d'une surveillance totale a un impact considérable sur les personnes ciblées.  

Limité sur le plan pratique : cela s'explique par le fait qu'il a été utilisé dans le cadre de campagnes ciblées, et non dans le cadre d'une campagne d'espionnage de masse généralisée. Étant donné que des correctifs pour cette vulnérabilité ont été publiés en avril 2025, le risque immédiat pour les utilisateurs disposant d'appareils mis à jour est faible. Cependant, les appareils non corrigés ou plus anciens resteront exposés au risque.