El malware LandFall, que explotó una vulnerabilidad cero-day en teléfonos Samsung para espiar a usuarios a través de WhatsApp, fue añadido por la agencia de ciberseguridad de los Estados Unidos (CISA) al catálogo de fallas activamente explotadas (KEV).
La Agencia de Ciberseguridad e Infraestructura de Estados Unidos (CISA) emitió esta semana una directiva urgente ordenando a las agencias federales parchear una vulnerabilidad crítica en dispositivos Samsung, explotada durante meses en ataques de espionaje que usaron el sofisticado spyware LandFall. La falla, identificada como CVE-2025-21042, permite a los atacantes ejecutar código remoto en equipos con Android 13 o superior.
Aunque Samsung lanzó una actualización correctiva en abril de 2025, un informe reciente del equipo Unit 42 de Palo Alto Networks reveló que el exploit estaba siendo utilizado desde julio de 2024 en una operación de vigilancia de largo alcance. El malware se propagaba mediante imágenes DNG manipuladas, enviadas por WhatsApp, capaces de infectar los dispositivos sin interacción del usuario, en un ataque conocido como zero-click.
El spyware LandFall posee amplias capacidades de intrusión: puede grabar audios, llamadas y ubicación en tiempo real, además de acceder a mensajes, contactos, fotografías, historial de navegación y archivos. Los dispositivos afectados incluyen las series Samsung Galaxy S22, S23, S24, y los modelos plegables Z Fold 4 y Z Flip 4.
Según la investigación de Unit 42, las víctimas se concentran principalmente en Irak, Irán, Turquía y Marruecos, donde se detectaron dominios y servidores de comando vinculados al spyware. Además, los analistas hallaron similitudes en los patrones de infraestructura con Stealth Falcon, un grupo de ciberespionaje con conexiones a los Emiratos Árabes Unidos, aunque sin evidencia directa de colaboración. “El uso de vulnerabilidades cero-day, infraestructura personalizada y cargas diseñadas a medida son señales de una operación con fines de espionaje, no de un ataque financiero”, explicó Itay Cohen, investigador principal de Unit 42.
CISA incluyó la vulnerabilidad en su catálogo Known Exploited Vulnerabilities (KEV) y ordenó a las agencias federales de los Estados Unidos parchear los sistemas antes del 1 de diciembre por “representar un riesgo significativo para las redes gubernamentales y privadas”, advirtió la agencia, instando también al sector privado a aplicar las mitigaciones de forma inmediata.