Unit 42 ha individuato alcuni campioni di un tipo di spyware finora sconosciuto e lo ha denominato LANDFALL. Tali campioni erano contenuti in file immagine DNG (Digital Negative) danneggiati, ai quali era allegato un archivio ZIP. Il payload (lo spyware) veniva estratto ed eseguito quando una libreria di immagini Samsung vulnerabile analizzava l'immagine.  

Dai metadati e dagli indirizzi IP inviati, la campagna non sembra essere un malware di massa, ma appare mirata. Le vittime sembrano essere concentrate in alcune zone del Medio Oriente (Marocco, Iran, Iraq, Turchia, ecc.).  

 La vulnerabilità (il nucleo tecnico)  

Problemi di scrittura fuori limite nella libreria di elaborazione delle immagini Samsung libimagecodec.quram.so portano all'esecuzione arbitraria di codice remoto. A questa falla è stato assegnato un punteggio di gravità elevato e il codice CVE-2025-21042 (CVSS 8.8). Questa vulnerabilità significa che un'immagine malformata può essere utilizzata per far eseguire un codice arbitrario a un dispositivo.  

Un archivio ZIP era incorporato nell'immagine DNG e, quando il parser vulnerabile gestiva l'immagine in modo errato, estraeva ed eseguiva il codice dai file della libreria condivisa (.so) contenuti nell'archivio. È così che LANDFALL è stato rilasciato ed eseguito.  

 Metodo di consegna: perché era pericoloso  

I file DNG dannosi sono stati probabilmente inviati tramite WhatsApp (Unit 42 ha ricondotto il modello di attacco a precedenti exploit di immagini zero-click). La vulnerabilità nell'analisi delle immagini significava che l'exploit era zero-click (la vittima non doveva interagire con l'immagine) se l'applicazione di messaggistica o il telefono analizzavano/generavano automaticamente l'immagine in miniatura.

Questo lo rende furtivo e potente.  

 Cosa può fare LANDFALL (capacità)  

Unit 42 e altri rapporti mostrano che LANDFALL forniva capacità di sorveglianza complete simili a quelle dello spyware commerciale:  

Accedere a foto, file, contatti, registri delle chiamate.  

Registrare l'audio dal microfono.  

Segnalare la posizione precisa (GPS).  

Inviare dati ai server di comando e controllo controllati dall'autore dell'attacco.

I framework di sorveglianza qui descritti sono indicativi delle cosiddette capacità "di livello commerciale" di LANDFALL.  

Dispositivi interessati  

I registri di telemetria di Unit 42 mostrano che sono interessati diversi modelli di telefoni Samsung Galaxy. I rapporti indicavano specificamente le serie Galaxy S22, S23, S24, nonché lo Z Fold 4 e lo Z Flip 4 come alcuni dei modelli Fold e Flip. La vulnerabilità di sicurezza riguardava diverse versioni della libreria di elaborazione delle immagini di Samsung e non è stata risolta fino a quando Samsung non ha rilasciato una patch.  

 Cronologia delle attività e risoluzione delle vulnerabilità  

Il rapporto di Unit 42 ha affermato che l'analisi dell'attività LANDFALL è iniziata a metà del 2024, con campioni acquisiti nel 2024 e all'inizio del 2025 e caricati su VirusTotal.  

Nel 2025, Samsung ha rilasciato una patch per CVE-2025-21042. Come osservato da Unit 42, la vulnerabilità è stata effettivamente corretta da Samsung nell'aprile 2025. CVE-2025-21043, un'altra vulnerabilità correlata nella stessa libreria, è stata corretta in seguito. Qualsiasi dispositivo aggiornato dopo tali patch non dovrebbe essere vulnerabile a questo specifico exploit.  

 Attribuzione  

La designazione di LANDFALL come "di livello commerciale" da parte di Unit 42 implica che si tratti probabilmente di malware prodotto e/o venduto da un fornitore di sistemi di sorveglianza, non da un cybercriminale di basso livello. Tuttavia, non c'è stata alcuna attribuzione pubblica o identificazione della società o dello Stato coinvolti negli attacchi. È comune che i ricercatori evitino di attribuire la responsabilità a meno che non dispongano di prove concrete.

 Possibili indicatori di compromissione (IoC) e prove rilevanti

Nell'analisi forense dei dispositivi, è possibile imbattersi in file immagine DNG malformati a cui sono state aggiunte sezioni ZIP. 

Potrebbero esserci anche collegamenti in uscita verso alcuni indirizzi IP o domini sospetti di comando e controllo descritti nell'appendice di Unit 42. 

Potrebbero inoltre esserci registrazioni di utilizzo del microfono inaspettate, nuovi file binari o librerie condivise nella memoria delle app e discrepanze all'interno delle app relative a un utilizzo insolito della batteria o dei dati. 

Fare riferimento all'appendice tecnica di Unit 42 per gli indirizzi IP, gli hash e i nomi dei file esatti. Anche le regole YARA nel rapporto forniscono queste informazioni. 

 Deterrenza e rilevamento (misure pratiche) 

Per mitigare i rischi, tutti dovranno adottare alcune misure (telefoni/utenti regolari): 

Aggiornare il telefono. Installare gli aggiornamenti di sicurezza Samsung/Android, che risolvono il bug sfruttato da LANDFALL (a partire da aprile 2025). Eseguendo questo aggiornamento, si eliminerà la vulnerabilità specifica. 

Evita di aprire immagini provenienti da mittenti sconosciuti. Anche se si tratta di un attacco zero-click, non salvare né visualizzare immagini non attendibili ed elimina eventuali file sospetti. 

Utilizza gli app store ufficiali e assicurati che le app (comprese quelle di messaggistica) siano aggiornate regolarmente.

Se ritenete che il vostro dispositivo possa essere stato compromesso (comportamento insolito, batterie che si scaricano rapidamente o costi di traffico dati in eccesso inspiegabili), eseguite un ripristino delle impostazioni di fabbrica dopo aver eseguito il backup dei file più importanti e modificate tutte le password importanti su un altro dispositivo. Se ritenete di essere un bersaglio ad alto rischio, dovreste richiedere l'aiuto di un professionista.  

Per le organizzazioni / i team di sicurezza:  

Valutate e applicate al più presto le patch di sicurezza Samsung e verificate lo stato delle patch su tutti i dispositivi gestiti.  

Implementa il rilevamento delle minacce sui dispositivi mobili/EDR e cerca gli artefatti di file e le anomalie di comportamento rilevati nel rapporto Unit 42.  

Controllare la telemetria per i domini/IP IoC e applicare il blocco appropriato.  

Se si osservano attività sospette, condividere gli IOC con i team di risposta agli incidenti e i CSIRT nazionali.  

Quanto è grave la situazione? (valutazione del rischio)  

Dal punto di vista tecnico è grave: la combinazione di zero-day, zero-click e sorveglianza completa ha un impatto elevato sulle persone prese di mira.  

Praticamente limitato: questo perché è stato utilizzato in campagne mirate e non in un'epidemia di spionaggio di massa diffusa. Dato che le patch per questa vulnerabilità sono state rilasciate nell'aprile 2025, il rischio immediato per gli utenti con dispositivi aggiornati è basso. Tuttavia, i dispositivi non aggiornati o più vecchi rimarranno a rischio.