Una falla de seguridad ahora parcheada en los dispositivos Android Samsung Galaxy fue explotada como un día cero para entregar un software espía de Android de «grado comercial» denominado RECALADA en ataques selectivos en Oriente Medio.
La actividad consistió en la explotación de CVE-2025-21042 (Puntuación CVSS: 8,8), una falla de escritura fuera de límites en el componente «libimagecodec.quram.so» que podría permitir a atacantes remotos ejecutar código arbitrario, según la Unidad 42 de Palo Alto Networks. Samsung solucionó el problema en abril de 2025.
«Esta vulnerabilidad fue explotada activamente en la naturaleza antes de que Samsung la parcheara en abril de 2025, luego de informes de ataques en la naturaleza», dijo la Unidad 42. Los objetivos potenciales de la actividad, rastreada como CL-UNK-1054, se encuentran en Irak, Irán, Turquía y Marruecos según los datos enviados por VirusTotal.
El desarrollo se produce cuando Samsung reveló en septiembre de 2025 que otra falla en la misma biblioteca (CVE-2025-21043, puntuación CVSS: 8.8) también había sido explotada en la naturaleza como un día cero. No hay evidencia de que esta falla de seguridad se haya utilizado como arma en la campaña LANDFALL.
Se evalúa que los ataques implicaron el envío a través de WhatsApp de imágenes maliciosas en forma de archivos DNG (Digital Negative), con evidencia de muestras de LANDFALL que se remontan al 23 de julio de 2024. Esto se basa en artefactos DNG con nombres como «Imagen de WhatsApp 2025-02-10 a las 4.54.17 PM.jpeg» e «IMG-20240723-WA0000.jpg».
LANDFALL, una vez instalado y ejecutado, actúa como una herramienta de espionaje integral, capaz de recopilar datos confidenciales, incluida la grabación del micrófono, la ubicación, las fotos, los contactos, los SMS, los archivos y los registros de llamadas. Se dice que la cadena de explotación probablemente implicó el uso de un enfoque de cero clic para activar la explotación de CVE-2025-21042 sin requerir ninguna interacción del usuario.
 |
| Diagrama de flujo del software espía LANDFALL |
Vale la pena señalar que casi al mismo tiempo WhatsApp reveló que una falla en su aplicación de mensajería para iOS y macOS (CVE-2025-55177, puntuación CVSS: 5.4) se encadenó junto con CVE-2025-43300 (puntuación CVSS: 8.8), una falla en Apple iOS, iPadOS y macOS, para potencialmente apuntar a menos de 200 usuarios como parte de una campaña sofisticada. Desde entonces, Apple y WhatsApp han solucionado los fallos.
 |
| Cronología de archivos de imágenes DNG maliciosos recientes y actividad de explotación asociada |
El análisis de la Unidad 42 de los archivos DNG descubiertos muestra que vienen con un archivo ZIP incrustado adjunto al final del archivo, y el exploit se utiliza para extraer una biblioteca de objetos compartidos del archivo para ejecutar el software espía. También está presente en el archivo otro objeto compartido que está diseñado para manipular la política SELinux del dispositivo para otorgar permisos elevados a LANDFALL y facilitar la persistencia.
El objeto compartido que carga LANDFALL también se comunica con un servidor de comando y control (C2) a través de HTTPS para ingresar a un bucle de baliza y recibir cargas útiles de la siguiente etapa no especificadas para su posterior ejecución.
Actualmente no se sabe quién está detrás del software espía o de la campaña. Dicho esto, la Unidad 42 dijo que la infraestructura C2 de LANDFALL y los patrones de registro de dominio encajan con los de Stealth Falcon (también conocido como FruityArmor), aunque, a partir de octubre de 2025, no se han detectado superposiciones directas entre los dos grupos.
«Desde la aparición inicial de las muestras en julio de 2024, esta actividad destaca cómo los exploits sofisticados pueden permanecer en repositorios públicos durante un período prolongado antes de comprenderse completamente», dijo la Unidad 42.