Một lỗ hổng bảo mật đã được vá trên các thiết bị Samsung Galaxy Android đã bị khai thác như một zero-day để phát tán phần mềm gián điệp Android "cấp thương mại" có tên LANDFALL trong các cuộc tấn công có chủ đích ở Trung Đông.
Hoạt động này liên quan đến việc khai thác CVE-2025-21042 (điểm CVSS: 8.8), một lỗi ghi ngoài giới hạn trong thành phần "libimagecodec.quram.so" có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý, theo Unit 42 của Palo Alto Networks. Vấn đề này đã được Samsung khắc phục vào tháng 4 năm 2025.
"Lỗ hổng này đã bị khai thác tích cực trong thực tế trước khi Samsung vá lỗi vào tháng 4 năm 2025, sau các báo cáo về các cuộc tấn công trong thực tế," Unit 42 cho biết. Các mục tiêu tiềm năng của hoạt động này, được theo dõi là CL-UNK-1054, nằm ở Iraq, Iran, Thổ Nhĩ Kỳ và Morocco dựa trên dữ liệu gửi lên VirusTotal.
Diễn biến này xảy ra khi Samsung tiết lộ vào tháng 9 năm 2025 rằng một lỗ hổng khác trong cùng thư viện (CVE-2025-21043, điểm CVSS: 8.8) cũng đã bị khai thác trong thực tế như một zero-day. Hiện không có bằng chứng nào cho thấy lỗ hổng bảo mật này được vũ khí hóa trong chiến dịch LANDFALL.
Các cuộc tấn công được đánh giá là liên quan đến việc gửi qua WhatsApp các hình ảnh độc hại dưới dạng tệp DNG (Digital Negative), với bằng chứng về các mẫu LANDFALL có từ ngày 23 tháng 7 năm 2024. Điều này dựa trên các tạo phẩm DNG mang tên như "WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" và "IMG-20240723-WA0000.jpg."
LANDFALL, một khi được cài đặt và thực thi, hoạt động như một công cụ gián điệp toàn diện, có khả năng thu thập dữ liệu nhạy cảm, bao gồm ghi âm micrô, vị trí, ảnh, danh bạ, SMS, tệp và nhật ký cuộc gọi. Chuỗi exploit này được cho là có thể đã sử dụng phương pháp zero-click để kích hoạt khai thác CVE-2025-21042 mà không yêu cầu bất kỳ tương tác nào từ người dùng.
Đáng chú ý là cùng thời điểm đó, WhatsApp đã tiết lộ rằng một lỗ hổng trong ứng dụng nhắn tin của họ dành cho iOS và macOS (CVE-2025-55177, điểm CVSS: 5.4) đã được kết hợp với CVE-2025-43300 (điểm CVSS: 8.8), một lỗ hổng trong Apple iOS, iPadOS và macOS, để có khả năng nhắm mục tiêu vào dưới 200 người dùng như một phần của chiến dịch tinh vi. Apple và WhatsApp đã vá các lỗ hổng này.
Phân tích của Unit 42 về các tệp DNG được phát hiện cho thấy chúng đi kèm với một tệp ZIP được nhúng vào cuối tệp, với exploit được sử dụng để trích xuất một thư viện đối tượng dùng chung từ kho lưu trữ để chạy phần mềm gián điệp. Cũng có mặt trong kho lưu trữ là một đối tượng dùng chung khác được thiết kế để thao túng chính sách SELinux của thiết bị để cấp cho LANDFALL các quyền nâng cao và tạo điều kiện duy trì truy cập.
Đối tượng dùng chung tải LANDFALL cũng giao tiếp với máy chủ command-and-control (C2) qua HTTPS để tham gia vào một vòng lặp beaconing và nhận các payload giai đoạn tiếp theo không xác định để thực thi sau đó.
Hiện vẫn chưa rõ ai đứng sau phần mềm gián điệp hoặc chiến dịch này. Tuy nhiên, Unit 42 cho biết cơ sở hạ tầng C2 và các mẫu đăng ký tên miền của LANDFALL phù hợp với Stealth Falcon (còn gọi là FruityArmor), mặc dù, tính đến tháng 10 năm 2025, chưa phát hiện thấy sự chồng chéo trực tiếp nào giữa hai nhóm này.
"Từ lần xuất hiện ban đầu của các mẫu vào tháng 7 năm 2024, hoạt động này làm nổi bật cách các exploit tinh vi có thể tồn tại trong các kho lưu trữ công khai trong một thời gian dài trước khi được hiểu đầy đủ," Unit 42 cho biết.
