كشفت شركة Palo Alto Networks Unit 42 عن حملة تجسس سيبرانية استغلت ثغرة غير معروفة سابقًا في أجهزة سامسونج جالاكسي، بهدف نشر برمجية تجسس متطورة تُعرف باسم LANDFALL، استُخدمت في هجمات دقيقة استهدفت مستخدمين في الشرق الأوسط. وقد أغلقت سامسونج الثغرة في تحديث أمني صدر في أبريل 2025، لكنها كانت آنذاك تُستغل بالفعل في الميدان.
استغلال ثغرة CVE-2025-21042 قبل التصحيح
أوضحت التحليلات أن الثغرة التي حملت الرمز CVE-2025-21042 (بدرجة خطورة 8.8 وفق معيار CVSS) كانت موجودة في مكون libimagecodec.quram.so ضمن نظام أندرويد لأجهزة سامسونج، وتسمح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد على الجهاز المستهدف. وقد تبيّن أن الهجمات التي حملت الاسم الرمزي CL-UNK-1054 ركزت على مستخدمين في العراق وإيران وتركيا والمغرب، استنادًا إلى بيانات التحميل على منصة VirusTotal.
ويأتي هذا الاكتشاف بعد أشهر فقط من إعلان سامسونج في سبتمبر 2025 عن ثغرة أخرى في المكتبة ذاتها (CVE-2025-21043) كانت هي الأخرى قد استُغلت في هجمات «يوم الصفر»، دون ارتباط مباشر بحملة LANDFALL الحالية.
صور خبيثة عبر واتساب وسلسلة استغلال متقنة
تشير وحدة Unit 42 إلى أن القراصنة استخدموا صورًا خبيثة بصيغة DNG (Digital Negative) أُرسلت عبر تطبيق واتساب كوسيلة أولية للاختراق. وقد وُجدت عينات للحملة تعود إلى يوليو 2024، ما يدل على استمرار نشاطها لفترة طويلة قبل اكتشافها.
وأظهرت الملفات المسروبة – التي حملت أسماء مثل “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” – أنها كانت تحتوي على ملفات ZIP مضمنة داخل الصورة، تُستخدم لاستخراج مكتبات ديناميكية خبيثة (.so) تقوم بتشغيل البرمجية التجسسية. كما احتوت على مكتبة إضافية تُعدّل سياسات أمان SELinux في النظام لمنح البرمجية صلاحيات مرتفعة وضمان بقائها بعد إعادة التشغيل.
قدرات LANDFALL: تجسس شامل واستهداف لأجهزة محددة
بمجرد تنصيبها، تعمل LANDFALL كمنصة تجسس متعددة الوحدات (modular spyware) قادرة على تسجيل الصوت من الميكروفون، وتحديد الموقع الجغرافي، وجمع الصور، وجهات الاتصال، والرسائل النصية، وسجلات المكالمات، والملفات الخاصة.
وتستهدف هذه البرمجية تحديدًا أجهزة Galaxy S22 وS23 وS24 بالإضافة إلى Z Fold 4 وZ Flip 4، وهي من فئات الهواتف الرائدة لدى سامسونج، مع استثناء الأجيال الأحدث. وتتصل البرمجية بخادم قيادة وتحكم (C2) عبر بروتوكول HTTPS لتنفيذ أوامر لاحقة واستقبال مكونات إضافية غير معروفة حتى الآن.
تشابه مع أنشطة مجموعة Stealth Falcon
لم تُحدد الجهة المسؤولة عن حملة LANDFALL، لكن الباحثين رصدوا تشابهًا في أنماط البنية التحتية وأسماء النطاقات مع تلك التي تُستخدم في عمليات Stealth Falcon (المعروفة أيضًا باسم FruityArmor) – وهي مجموعة تجسس سيبراني ناطقة بالعربية نُسبت سابقًا إلى حملات مراقبة في الشرق الأوسط. ومع ذلك، لم تُثبت حتى أكتوبر 2025 أي علاقة مباشرة بين المجموعتين.
ويُعتقد أن LANDFALL تمثل جزءًا من موجة استغلال أوسع لملفات DNG، والتي شملت أيضًا هجمات متزامنة على أجهزة iPhone، استغلت ثغرات في أنظمة iOS وmacOS وتطبيق واتساب على iOS في حملة تجسس استهدفت أقل من 200 مستخدم. وقد قامت كل من آبل وواتساب بتصحيح تلك الثغرات لاحقًا.
مشهد التهديد المستمر وتطور الهجمات عبر الصور
تكشف نتائج Unit 42 أن استغلال ملفات الصور – سواء بصيغ DNG أو غيرها – أصبح اتجاهًا متصاعدًا في الهندسة الاستغلالية الحديثة، إذ تتيح هذه الملفات تمرير حمولات خبيثة مع الحفاظ على مظهر بريء. كما تبرز الحملة مدى قدرة الجهات المتقدمة على استغلال الثغرات العامة الموجودة في مكتبات الصور لتجاوز دفاعات النظام.
وقال الباحث إيتاي كوهين من Unit 42 إن الاستغلال لم يعد مستخدمًا بعد تصحيح الثغرة في أبريل 2025، إلا أن سلاسل استغلال مشابهة استهدفت أجهزة سامسونج وآبل سُجلت حتى أغسطس وسبتمبر 2025، ما يشير إلى أن نشاط الفاعلين ما زال مستمرًا بدرجة أو بأخرى.
