أعلنت شركة Palo Alto Networks عبر وحدة Unit 42 أن ثغرة أمنية في أجهزة Samsung Galaxy العاملة بنظام Android جرى استغلالها في هجمات استهدفت مستخدمين في الشرق الأوسط لنشر برنامج تجسس متقدم باسم LANDFALL. وكشفت التحليلات أن الخلل الأمني، الذي تحدد بالثغرة ذات الرمز CVE-2025-21042 وبلغت درجته 8.8 وفقاً لمقياس CVSS، كان موجوداً في مكون libimagecodec.quram.so قبل أن تصدر Samsung تحديثاً أمنياً لمعالجته في أبريل 2025.
سمحت الثغرة للمهاجمين بتنفيذ تعليمات برمجية عن بعد من دون أي تفاعل من المستخدم (من فئة Zero-Click). وأشارت الشركة إلى أن الهجمات جرت بالفعل قبل صدور التصحيح، واستهدفت مستخدمين في كل من العراق وإيران وتركيا والمغرب، وفقاً لبيانات من منصة VirusTotal.
في سبتمبر 2025، أعلنت Samsung عن ثغرة أخرى في المكون نفسه، حملت الرمز CVE-2025-21043 وبدرجة خطورة مماثلة، وأُكد أيضاً استغلالها بشكل محدود في هجمات واقعية، لكنها لم تُستخدم ضمن حملة LANDFALL.
تحقيقات Unit 42 أوضحت أن المهاجمين أرسلوا عبر WhatsApp صوراً رقمية بصيغة DNG (Digital Negative) تحوي تعليمات خبيثة داخل ملف مضغوط مخفي. وتعود بعض العينات إلى يوليو 2024، مثل ملفات تحمل أسماء على غرار WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg وIMG-20240723-WA0000.jpg.
عند تنفيذ الاستغلال، يجري استخراج مكتبة برمجية خبيثة من داخل الأرشيف وتشغيلها على الجهاز لتثبيت برنامج LANDFALL، الذي يعمل كأداة تجسس متكاملة تجمع تسجيلات الميكروفون، وموقع الجهاز، والصور، وجهات الاتصال، والرسائل النصية، وملفات التخزين، وسجلات المكالمات. كما بين التحليل وجود مكتبة ثانية داخل الأرشيف مصممة للتلاعب بسياسة SELinux في النظام لرفع صلاحيات البرنامج وضمان استمراريته على الجهاز.
يعتقد المحللون أن السلسلة الهجومية استغلت آلية Zero-Click لتفعيل الثغرة دون أي ضغط من المستخدم. وبعد التثبيت، يتصل البرنامج بخادم تحكم وسيطرة (C2) عبر بروتوكول HTTPS لتنفيذ أوامر لاحقة وتنزيل حمولة إضافية غير معروفة.
يجدر بالذكر أن توقيت الهجمات تزامن مع كشف WhatsApp عن ثغرة أخرى أثرت في تطبيقها على أنظمة iOS وmacOS (CVE-2025-55177)، جرى استغلالها مع ثغرة في أنظمة Apple (CVE-2025-43300) لاستهداف أقل من 200 مستخدم ضمن حملة تجسس معقدة، وقد جرى سدها سريعاً من قِبل Apple وWhatsApp.
أما هوية الجهة المنفذة لهجمات LANDFALL فما زالت غير معروفة، غير أن البنية التحتية لخوادم التحكم وأنماط تسجيل النطاقات تشابه إلى حد كبير تلك المستخدمة من قبل مجموعة Stealth Falcon (المعروفة أيضاً باسم FruityArmor). ومع ذلك، فحتى أكتوبر 2025، لم يتم العثور على دليل مباشر يربط بين المجموعتين.
كما أكدت وحدة Unit 42 في تقريرها أن العينات الأولى من البرنامج ظهرت في يوليو 2024، مشيرة إلى أن هذا النوع من الثغرات المعقدة قد يبقى قيد الاستغلال لفترات طويلة قبل اكتشافه أو فهم آلياته بالكامل، وهو ما يبرز خطورة الهجمات المشابهة التي تستغل أدق مكونات النظام.
