Les experts en cybersécurité de l'Unité 42 de Palo Alto Networks ont révélé les détails d'une campagne d'espionnage de grande envergure. Un spyware de qualité commerciale, baptisé Landfall, a tiré parti d'une vulnérabilité zero-day pour infiltrer certains des smartphones les plus vendus du marché.
L'opération, restée sous les radars pendant des mois, ciblait spécifiquement des individus au Moyen-Orient, avec des victimes potentielles localisées en Irak, en Iran, en Turquie et au Maroc.
Comment Landfall a-t-il pu infecter les smartphones ?
L'infection reposait sur l'exploitation d'une vulnérabilité critique, référencée CVE-2025-21042, située dans la bibliothèque de traitement d'images des appareils Samsung.
Les attaquants envoyaient une image spécialement conçue au format DNG (Digital Negative), très probablement via des applications de messagerie populaires comme WhatsApp.
Le mode opératoire de type zero-click ne nécessitait aucune action de la part de la victime. Une fois l'image reçue et traitée par le système, la faille était déclenchée, permettant l'exécution de code malveillant et l'installation du logiciel espion.
Quelles étaient les capacités du sypware ?
Landfall est un outil d'espionnage complet et modulaire. Une fois installé, il offrait à ses opérateurs un accès quasi total à l'appareil infecté.
Ce type de spyware pouvait enregistrer les conversations via le micro, suivre la localisation GPS de la victime en temps réel, et exfiltrer une quantité massive de données personnelles : photos, contacts, journaux d'appels, messages SMS et fichiers stockés.
Les modèles spécifiquement ciblés incluaient des appareils phares comme les Galaxy S22, S23, S24, ainsi que les modèles pliants Z Fold 4 et Z Flip 4.
Qui se cache derrière cette campagne d'espionnage ?
L'attribution formelle reste complexe, mais les indices pointent vers des " acteurs offensifs du secteur privé ", des entreprises qui développent et vendent des outils de surveillance pour des plateformes comme Android à des entités gouvernementales.
Bien qu'aucune preuve directe ne permette de lier Landfall à un groupe connu, les chercheurs notent que son infrastructure partage des similitudes avec celle de Stealth Falcon, un groupe de surveillance déjà associé à des attaques contre des journalistes et militants aux Émirats arabes unis.
La nature des cibles renforce la thèse d'une opération d'espionnage étatique. La faille a finalement été corrigée par Samsung en avril 2025, mais la découverte tardive de cette campagne met en lumière la sophistication et la discrétion de ce marché de la surveillance.
