Investigadores en ciberseguridad han descubierto una campaña de espionaje dirigida a los usuarios de teléfonos Samsung en varios países, incluyendo Marruecos. Esta operación se lleva a cabo a través de un software malicioso que se infiltra en los dispositivos mediante imágenes enviadas por WhatsApp, sin ninguna interacción del usuario. Investigadores en ciberseguridad han desvelado una sofisticada campaña de espionaje digital que ha tenido como blanco a usuarios de teléfonos Samsung en diversos países, incluido Marruecos. El ataque se ha llevado a cabo a través de un nuevo software espía denominado LANDFALL, diseñado específicamente para infiltrarse en dispositivos Samsung Galaxy sin necesidad de interacción por parte del usuario, aprovechando el envío de imágenes por WhatsApp. Imágenes como vehículo para el espionaje Según un informe publicado recientemente por el equipo de investigación Unit 42 de Palo Alto Networks, los atacantes han explotado una vulnerabilidad crítica y hasta ahora desconocida (Zero-day) en la biblioteca de procesamiento de imágenes de Samsung, identificada como CVE-2025-21042. Esta brecha permitió integrar el software espía en archivos de imagen DNG que se enviaban a las víctimas por WhatsApp, sin requerir que el usuario abriera o hiciera clic en el archivo. Una vez que el software se infiltra en el dispositivo, LANDFALL permite una vigilancia exhaustiva, incluyendo la grabación de audio mediante el micrófono del teléfono, el seguimiento de la ubicación, y el acceso a fotos, contactos y registros de llamadas. Las capacidades avanzadas de LANDFALL en términos de sigilo, persistencia y recopilación de datos desde dispositivos Samsung modernos son notables. La investigación reveló que esta campaña ha estado activa desde mediados de 2024, varios meses antes de que Samsung solucionara la vulnerabilidad en abril de 2025. También se detectaron archivos maliciosos subidos a la plataforma VirusTotal desde países como Irak, Irán, Turquía y Marruecos, lo que indica que usuarios de estas regiones fueron potencialmente atacados. Una vulnerabilidad explotada durante meses antes de ser corregida El análisis de la infraestructura del ataque muestra una notable similitud con actividades de espionaje digital asociadas a entidades privadas que operan en Oriente Medio, lo que refuerza la teoría de que el software espía está vinculado a actores del sector privado ofensivo, conocidos como PSOA. Unit 42 también señala que el ataque guarda semejanzas con una cadena de explotación observada previamente en iPhones en agosto de 2025, donde se utilizó una vulnerabilidad similar en WhatsApp para ejecutar una brecha remota empleando imágenes. El informe confirmó que «la vulnerabilidad explotada ya no representa una amenaza para los usuarios actuales», después de que Samsung la corrigiera junto con otra vulnerabilidad similar, CVE-2025-21043, el pasado septiembre. Este caso se presenta como una de las operaciones de espionaje más inusuales descubiertas antes de ser anunciadas oficialmente, según el equipo de Unit 42, que describió a LANDFALL como «un software espía avanzado que permaneció activo durante varios meses sin ser detectado».
