Une nouvelle campagne d’espionnage numérique, d’une sophistication rare, a pris pour cible des utilisateurs de smartphones Samsung dans plusieurs pays, dont le Maroc. Au cœur de l’opération : LANDFALL, un logiciel espion capable d’infiltrer les appareils sans aucune action de l’utilisateur, via de simples images transmises sur WhatsApp.
Une intrusion via des images DNG
D’après un rapport publié il y a deux jours par l’équipe Unit 42 (Palo Alto Networks), les attaquants ont exploité une vulnérabilité jusque-là inconnue (zero-day) dans la bibliothèque de traitement d’images de Samsung, référencée CVE-2025-21042. Cette faille permettait d’intégrer le spyware dans des fichiers image au format DNG et de les livrer aux victimes par WhatsApp, sans ouverture ni clic. Une fois le code exécuté, LANDFALL accédait aux fonctions sensibles du téléphone : enregistrement audio via le micro, localisation, photos, contacts, journaux d’appels, avec des mécanismes de furtivité et de persistance avancés.
Une campagne active depuis mi-2024
Les données d’enquête indiquent une activité dès la mi-2024, plusieurs mois avant un premier correctif déployé par Samsung au printemps 2025, puis complété en septembre 2025 avec la correction d’une vulnérabilité apparentée (CVE-2025-21043). Des échantillons malveillants ont été repérés sur VirusTotal en provenance de divers pays, Irak, Iran, Turquie et Maroc, suggérant une ciblage géographique large.
Une signature d’acteurs privés offensifs
L’infrastructure utilisée présenterait des similitudes avec des opérations d’espionnage attribuées à des entités privées opérant au Moyen-Orient (PSOA, private sector offensive actors). Unit 42 relève par ailleurs des parallèles techniques avec une chaîne d’exploitation observée sur iPhone en août 2025, également via WhatsApp et des images piégées.
Situation actuelle : risque atténué mais vigilance requise
Selon le rapport, la faille exploitée ne constitue plus une menace pour les utilisateurs à jour, Samsung ayant diffusé les correctifs nécessaires. Reste que LANDFALL illustre la montée en puissance de campagnes “zero-click” très ciblées, difficiles à détecter et potentiellement dévastatrices pour les données personnelles.
Conseils de base : appliquer sans délai les mises à jour système et de sécurité, conserver l’option de mise à jour automatique activée, et surveiller toute activité anormale (consommation de batterie, connexions suspectes, autorisations d’apps).
Contactez Nous