El Caso LANDFALL: Desmontando la Nueva Amenaza Zero-Day para Samsung Galaxy

LANDFALL no es un malware más, es una señal de alerta global. Este spyware avanzado explota un fallo crítico en Samsung Galaxy, revelando los riesgos crecientes del espionaje comercial en la era móvil.

Alejandro Vargas
Por
Alejandro Vargas
Alejandro Vargas
PorAlejandro Vargas
Consultor de Seguridad de la Información
Un apasionado del 'ethical hacking' desde su adolescencia, Alejandro ha dedicado su carrera a encontrar vulnerabilidades antes que los cibercriminales, trabajando como pentester para consultoras internacionales.
Seguir:
Lectura de 7 min
Imagen Caso LANDFALL

En el mundo del espionaje digital, la discreción y la sofisticación son las armas más preciadas. A finales de 2025 la firma de ciberseguridad Palo Alto Networks, a través de su Unit 42 ha destapado una de esas armas, un spyware de grado comercial bautizado como LANDFALL, que explotó una vulnerabilidad zero-day en dispositivos Samsung Galaxy para llevar a cabo una campaña de vigilancia dirigida en Oriente Medio.

Contenido

Este caso no se limita a una infección más por malware. Es una clase maestra sobre cómo se construye, entrega y ejecuta un ataque moderno de alto nivel. También representa una advertencia clara sobre la evolución del mercado de herramientas de espionaje, donde actores privados desarrollan capacidades que antes solo estaban al alcance de gobiernos.

La Anatomía del Ataque: De la Imagen al Control Total

El núcleo de la operación LANDFALL reside en la explotación de una vulnerabilidad crítica que permaneció desconocida durante meses.

  • La Vulnerabilidad (Zero-Day): CVE-2025-21042 (CVSS 8.8), un fallo de escritura fuera de límites (out-of-bounds write) en la librería de procesamiento de imágenes de Samsung (libimagecodec.quram.so). Este tipo de vulnerabilidad permite a un atacante escribir datos más allá del búfer asignado, lo que puede llevar a la corrupción de la memoria y, finalmente, a la ejecución de código arbitrario.
  • El Vector de Entrega: El ataque se inicia con el envío de un archivo de imagen DNG (Digital Negative) especialmente manipulado. Los investigadores determinaron que el vector más probable fue WhatsApp, lo que sugiere un ataque de “Zero Click” o de interacción mínima, donde el simple hecho de recibir o previsualizar la imagen podría ser suficiente para activar el exploit.
  • La Cadena de Explotación (Exploit Chain): El archivo DNG malicioso no es solo una imagen. Contiene un archivo ZIP oculto adjunto a sus metadatos. La explotación de CVE-2025-21042 permite al atacante forzar a la librería de imágenes a extraer y ejecutar el contenido de este ZIP. Dentro del archivo se encuentran los componentes clave del spyware:
    1. Un componente cargador (b.so): El primer módulo que se ejecuta.
    2. Un archivo comprimido (XZ): Contiene la carga útil principal del spyware.
    3. Un manipulador de políticas SELinux (l.so): Un componente crucial diseñado para modificar la política de seguridad de SELinux del dispositivo, otorgando al spyware permisos elevados y facilitando su persistencia.

Capacidades y Arquitectura del Spyware

Una vez desplegado, LANDFALL proporciona a los atacantes acceso completo y persistente al dispositivo comprometido. Entre sus capacidades principales se encuentran:

  • Grabación de audio mediante el micrófono.
  • Captura de imágenes y acceso a la cámara.
  • Recolección de ubicación GPS, contactos, registros de llamadas y mensajes.
  • Comunicación con un servidor de C2 (mando y control) desde donde descarga módulos adicionales según el perfil del objetivo.

LANDFALL fue diseñado como un framework modular, lo que permite a los operadores personalizar las funciones de espionaje en función de la víctima. Además, incluye mecanismos de detección de entornos de análisis para evadir investigadores de seguridad, incluyendo el reconocimiento de entornos de depuración y herramientas forenses populares.

Una Amenaza Coordinada y Multiplataforma

Lo más preocupante del caso LANDFALL no es solo la sofisticación del exploit, sino su contexto operativo. El hallazgo se produjo en paralelo con investigaciones sobre ataques similares contra dispositivos iOS. Esto sugiere una campaña coordinada que apunta a librerías de procesamiento de imágenes como vector de entrada tanto en Android como en sistemas Apple, lo que indica una operación con recursos significativos y alcance global.

Aunque no se ha confirmado públicamente la atribución, los analistas de Unit 42 encontraron similitudes entre la infraestructura de C2 de LANDFALL y la usada por el grupo conocido como Stealth Falcon, vinculado a operaciones de vigilancia patrocinadas por el Estado de los Emiratos Árabes Unidos.

Todo apunta a que LANDFALL es obra de un proveedor privado de herramientas de espionaje comercial, lo que lo coloca en la misma categoría que plataformas como Pegasus (NSO Group) o Predator (Intellexa).

Lecciones Técnicas y Estratégicas

LANDFALL refuerza varias tendencias clave en ciberseguridad móvil:

  1. Las librerías de medios siguen siendo una superficie de ataque crítica. Procesar imágenes, audio o video representa un riesgo real, especialmente cuando estas funciones están integradas en aplicaciones de mensajería.
  2. Los ataques de bajo o cero clic siguen creciendo. Reducen las barreras de entrada y aumentan la eficacia operativa, especialmente en entornos donde la ingeniería social es más difícil de ejecutar.
  3. Los zero-days pueden permanecer activos durante meses. En este caso, la campaña operó desde mediados de 2024 y solo se detuvo cuando Samsung parcheó la vulnerabilidad en abril de 2025.
  4. La amenaza ha sido validada por CISA, que incluyó CVE-2025-21042 en su catálogo de vulnerabilidades explotadas activamente (KEV), lo que obliga a las agencias federales de EE.UU. a corregir el fallo en sus entornos móviles.

LANDFALL no es un caso aislado, ni un simple malware. Es una manifestación de cómo el espionaje digital se ha industrializado, con proveedores privados creando exploits de primer nivel para operaciones dirigidas. La explotación de librerías de imágenes, la ejecución de cargas útiles ocultas, y la persistencia a nivel de sistema demuestran un cambio en las capacidades ofensivas móviles.

Para los equipos de seguridad, el mensaje es claro: el ecosistema móvil ya no es un vector secundario. Exige monitoreo, segmentación, gestión rigurosa de parches y capacidades avanzadas de detección de comportamiento. En esta nueva fase de ciberamenazas, incluso una imagen puede ser la puerta de entrada a una operación de vigilancia global.

Etiquetado:
Fuentes:LANDFALL: New Commercial-Grade Android Spyware
Compartir este artículo
Alejandro Vargas
PorAlejandro Vargas
Consultor de Seguridad de la Información
Seguir:
Un apasionado del 'ethical hacking' desde su adolescencia, Alejandro ha dedicado su carrera a encontrar vulnerabilidades antes que los cibercriminales, trabajando como pentester para consultoras internacionales.
Artículo anterior Imagen Amenazas Móviles, IoT y OT La Convergencia de Amenazas Móviles, IoT y OT en Infraestructuras Críticas
No hay comentarios

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Quizás debas leer

Banner Partner

También te puede interesar