CISA ha añadido CVE-2025-21042, una vulnerabilidad que afecta a los dispositivos móviles Samsung, a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y ha ordenado a las agencias civiles federales de EE. UU. que la aborden antes de principios de diciembre.
“Este tipo de vulnerabilidad es un vector de ataque frecuente para los actores cibernéticos maliciosos y plantea riesgos significativos para la empresa federal”, señaló la Agencia de Seguridad de Infraestructura y Ciberseguridad .
En este caso particular, el peligro para las agencias federales podría ser mayor de lo habitual, ya que, según se informa, esta vulnerabilidad se ha aprovechado para distribuir software espía para Android de grado comercial, posiblemente en nombre de entidades gubernamentales.
Acerca de CVE-2025-21042
CVE-2025-21042 es una vulnerabilidad de escritura fuera de límites en la biblioteca libimagecodec.quram.so , utilizada por los dispositivos móviles Samsung para el procesamiento de imágenes. Podría permitir a atacantes remotos ejecutar código arbitrario en un dispositivo vulnerable.
En abril de 2025 se publicó una solución para CVE-2025-21042, pero en los meses anteriores fue utilizada por atacantes para distribuir el software espía LANDFALL.
“La cadena de explotación posiblemente involucró la entrega sin clics mediante imágenes creadas maliciosamente, similar a las cadenas de explotación recientes vistas en iOS y Samsung Galaxy”, señalaron los investigadores de Palo Alto Networks.
“Este método se asemeja mucho a una cadena de explotación que involucra [una vulnerabilidad de día cero de iOS que afecta el análisis de imágenes DNG] y [una vulnerabilidad de día cero de WhatsApp] que llamó la atención en agosto de 2025. También se asemeja a una cadena de explotación que probablemente ocurrió utilizando una vulnerabilidad de día cero similar (CVE-2025-21043) divulgada [y corregida] en septiembre [de 2025].”
Acerca del software espía LANDFALL
Los investigadores descubrieron “varios archivos de imagen DNG no detectados previamente que contenían software espía de Android integrado y que se subieron a VirusTotal a lo largo de 2024 y principios de 2025”, y sus nombres de archivo sugieren que se distribuyeron a través de WhatsApp.
“Los archivos de imagen DNG malformados que descubrimos tienen un archivo ZIP incrustado adjunto al final del archivo”, explicaron los investigadores .
“El exploit extrae archivos de biblioteca de objetos compartidos (.so) del archivo ZIP integrado para ejecutar el software espía LANDFALL.”
Un análisis posterior de las muestras reveló que el software espía modular integrado está diseñado específicamente para dispositivos Samsung Galaxy.
Sus capacidades incluyen la identificación del dispositivo (es decir, la recopilación de información sobre el dispositivo, las aplicaciones instaladas, el estado de la VPN, etc.) y la exfiltración de datos: el software espía puede activar el micrófono, grabar llamadas, recopilar contactos, capturar datos de SMS/mensajería y fotos, etc.
También es capaz de permanecer en el dispositivo y realizar acciones destinadas a ocultar su presencia al usuario y a las soluciones de seguridad móvil.
“El análisis de la cargadora revela evidencia de actividad a nivel comercial”, añadieron.
“Sin embargo, no hemos analizado directamente los componentes de la siguiente fase del software espía. Detalles adicionales sobre esto o sobre el método de entrega exacto proporcionarían una comprensión aún mayor de la actividad maliciosa.”
Atribución del ataque
Según los datos de VirusTotal sobre los archivos DNG maliciosos, los posibles objetivos del software espía se encontraban en Irán, Turquía y Marruecos.
“El CERT nacional de Turquía (…) informó que las direcciones IP utilizadas por los servidores C2 de LANDFALL eran maliciosas, relacionadas con dispositivos móviles y APT, lo que también respalda la posible focalización de víctimas en Turquía”, compartieron los investigadores.
Aunque la infraestructura C2 y los patrones de registro de dominios de LANDFALL comparten similitudes con la infraestructura asociada a Stealth Falcon —un grupo de amenazas que ha llevado a cabo ataques de software espía dirigidos contra periodistas y activistas en los Emiratos Árabes Unidos—, la falta de indicadores adicionales coincidentes ha impedido a los investigadores atribuir la actividad de LANDFALL a un actor ofensivo conocido del sector privado (es decir, un mercenario cibernético) u otro actor de amenazas.
Fuente y redacción: helpnetsecurity.com / Zeljka Zorz
