
Unit 42 ha individuato alcuni campioni di un tipo di spyware finora sconosciuto e lo ha denominato LANDFALL. Tali campioni erano contenuti in file immagine DNG (Digital Negative) malformati, con un archivio ZIP allegato. Il payload (lo spyware) veniva estratto ed eseguito quando una libreria di immagini Samsung vulnerabile analizzava l’immagine.
Sulla base dei metadati e degli indirizzi IP rilevati, la campagna non sembra essere un attacco malware di massa, ma appare mirata. Le vittime sembrano concentrarsi in alcune zone del Medio Oriente (Marocco, Iran, Iraq, Turchia, ecc.).
La vulnerabilità (il nucleo tecnico)
Problemi di scrittura fuori dai limiti nella libreria di elaborazione delle immagini di Samsung libimagecodec.quram.so portano all’esecuzione arbitraria di codice remoto. A questa falla è stato assegnato un punteggio di gravità elevato e il codice CVE-2025-21042 (CVSS 8,8). Questa vulnerabilità implica che un’immagine malformata possa essere utilizzata per indurre un dispositivo a eseguire codice arbitrario.
Un archivio ZIP era incorporato nell’immagine DNG e, quando il parser vulnerabile gestiva l’immagine in modo errato, estraeva ed eseguiva il codice dai file della libreria condivisa (.so) contenuti nell’archivio. È così che LANDFALL è stato rilasciato ed eseguito.
Metodo di diffusione — perché era pericoloso
I file DNG dannosi sono stati probabilmente inviati tramite WhatsApp (Unit 42 ha ricondotto il modello di attacco a precedenti exploit di immagini zero-click). La vulnerabilità nell’analisi delle immagini significava che l’exploit era di tipo zero-click (la vittima non doveva interagire con l’immagine) se l’app di messaggistica o il telefono analizzavano l’immagine o ne generavano automaticamente una miniatura.
Ciò lo rende furtivo e potente.
Cosa può fare LANDFALL (capacità)
Unit 42 e altri rapporti dimostrano che LANDFALL forniva capacità di sorveglianza complete simili a quelle degli spyware commerciali:
Accedere a foto, file, contatti e registri delle chiamate.
Registrare l’audio dal microfono.
Segnalare la posizione precisa (GPS).
Inviare dati ai server di comando e controllo gestiti dall’autore dell’attacco.
Le strutture di sorveglianza qui descritte sono indicative delle cosiddette capacità “di livello commerciale” di LANDFALL.
Dispositivi interessati
I dati telemetrici raccolti da Unit 42 indicano che sono interessati diversi modelli di smartphone Samsung Galaxy. I rapporti hanno specificatamente indicato le serie Galaxy S22, S23 e S24, nonché gli Z Fold 4 e Z Flip 4 tra i modelli della linea Fold e Flip. La vulnerabilità di sicurezza riguardava diverse versioni della libreria di elaborazione delle immagini di Samsung ed è rimasta irrisolta fino a quando Samsung non ha rilasciato una patch.
Cronologia delle attività e risoluzione delle vulnerabilità
Il rapporto di Unit 42 ha indicato che l’analisi dell’attività LANDFALL è iniziata a metà del 2024, con campioni acquisiti nel 2024 e all’inizio del 2025 e caricati su VirusTotal.
Nel 2025, Samsung ha rilasciato una patch per CVE-2025-21042. Come osservato da Unit 42, la vulnerabilità è stata effettivamente corretta da Samsung nell’aprile 2025. CVE-2025-21043, un’altra vulnerabilità correlata nella stessa libreria, è stata corretta in seguito. Qualsiasi dispositivo aggiornato dopo l’applicazione di tali patch non dovrebbe essere vulnerabile a questo specifico exploit.
Attribuzione
La designazione di LANDFALL come «di livello commerciale» da parte di Unit 42 implica che si tratti probabilmente di malware prodotto e/o venduto da un fornitore di soluzioni di sorveglianza, non da un cybercriminale di basso livello. Tuttavia, non vi è stata alcuna attribuzione pubblica né è stata resa nota l’identità dell’azienda o dello Stato coinvolti negli attacchi. È prassi comune per i ricercatori evitare di attribuire la responsabilità a meno che non dispongano di prove concrete.
Possibili indicatori di compromissione (IoC) e prove rilevanti
Nell’analisi forense dei dispositivi, è possibile imbattersi in file immagine DNG malformati a cui sono state aggiunte sezioni ZIP.
Potrebbero inoltre essere presenti collegamenti in uscita verso alcuni indirizzi IP o domini sospetti di comando e controllo, descritti nell’appendice di Unit 42.
Potrebbero inoltre essere presenti registrazioni di utilizzo del microfono inattese, nuovi file binari o librerie condivise nella memoria delle app, nonché discrepanze all’interno delle app relative a un consumo insolito della batteria o dei dati.
Fare riferimento all’appendice tecnica di Unit 42 per gli indirizzi IP esatti, gli hash e i nomi dei file. Anche le regole YARA presenti nel rapporto forniscono queste informazioni.
Prevenzione e rilevamento (misure pratiche)
Per mitigare i rischi, tutti dovranno adottare alcune misure (telefoni/utenti comuni):
Aggiornate il vostro telefono. Installate gli aggiornamenti di sicurezza Samsung/Android, che risolvono la vulnerabilità sfruttata da LANDFALL (a partire da aprile 2025). Eseguendo questo aggiornamento, eliminerete la vulnerabilità specifica.
Evitate di aprire immagini provenienti da mittenti sconosciuti. Anche se si trattasse di un attacco zero-click, non salvate né visualizzate immagini non attendibili ed eliminate eventuali file sospetti.
Utilizzate gli app store ufficiali e assicuratevi che le app (comprese quelle di messaggistica) siano aggiornate regolarmente.
Se ritenete che il vostro dispositivo possa essere stato compromesso (comportamento insolito, batteria che si scarica rapidamente o costi di traffico dati in eccesso inspiegabili), eseguite un ripristino delle impostazioni di fabbrica dopo aver eseguito il backup dei file più importanti e modificate tutte le password importanti su un altro dispositivo. Se ritenete di essere un bersaglio ad alto rischio, dovreste rivolgervi a un professionista.
Per le organizzazioni e i team di sicurezza:
Valutate e applicate al più presto le patch di sicurezza Samsung e verificate lo stato delle patch su tutti i dispositivi gestiti.
Implementate soluzioni di rilevamento delle minacce sui dispositivi mobili/EDR e cercate gli artefatti di file e le anomalie comportamentali riportati nel rapporto di Unit 42.
Controllate i dati di telemetria alla ricerca dei domini/IP IoC e applicate le misure di blocco appropriate.
Se si osservano attività sospette, condividere gli IoC con i propri team di risposta agli incidenti e con i CSIRT nazionali.
Quanto è grave la situazione? (valutazione del rischio)
Dal punto di vista tecnico è grave: la combinazione di una vulnerabilità zero-day, zero-click e sorveglianza completa ha un impatto elevato sulle persone prese di mira.
Praticamente limitata: ciò è dovuto al fatto che è stata utilizzata in campagne mirate e non in un'epidemia di spionaggio di massa diffusa. Dato che le patch per questa vulnerabilità sono state rilasciate nell’aprile 2025, il rischio immediato per gli utenti con dispositivi aggiornati è basso. Tuttavia, i dispositivi non aggiornati o più vecchi rimarranno a rischio.
