{"id":164723,"date":"2025-11-07T03:00:18","date_gmt":"2025-11-07T11:00:18","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=164723"},"modified":"2025-11-06T15:09:22","modified_gmt":"2025-11-06T23:09:22","slug":"landfall-is-new-commercial-grade-android-spyware","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/","title":{"rendered":"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung"},"content":{"rendered":"<h2>Resumen ejecutivo<\/h2>\n<p>Los investigadores de la Unidad 42 han descubierto una familia de spyware para Android previamente desconocida, a la que hemos llamado LANDFALL. Para entregar el spyware, los atacantes explotaron una vulnerabilidad de d\u00eda cero (CVE-2025-21042) en la biblioteca de procesamiento de im\u00e1genes de Android de Samsung. La falla espec\u00edfica que LANDFALL explot\u00f3, CVE-2025-21042, no es un caso aislado, sino parte de un patr\u00f3n m\u00e1s amplio de problemas similares encontrados en m\u00faltiples plataformas m\u00f3viles.<\/p>\n<p>Esta vulnerabilidad fue explotada activamente <em>in-the-wild<\/em> (en ataques reales) antes de que Samsung la par_c_hara en abril de 2025, tras informes de ataques <em>in-the-wild<\/em>. Sin embargo, el exploit en s\u00ed \u2014y el spyware de grado comercial utilizado con \u00e9l\u2014 a\u00fan no han sido reportados y analizados p\u00fablicamente.<\/p>\n<p>LANDFALL estaba incrustado en archivos de imagen maliciosos (formato de archivo DNG) que parecen haber sido enviados a trav\u00e9s de WhatsApp, permitiendo potencialmente una cadena de infecci\u00f3n de cero clic (sin necesidad de interacci\u00f3n del usuario). Este m\u00e9todo se asemeja mucho a una cadena de <em>exploit<\/em> que involucra a Apple y WhatsApp que llam\u00f3 la atenci\u00f3n en agosto de 2025. Tambi\u00e9n se asemeja a una cadena de <em>exploit<\/em> que probablemente ocurri\u00f3 usando una vulnerabilidad de d\u00eda cero similar (CVE-2025-21043) revelada en septiembre. Nuestra investigaci\u00f3n no identific\u00f3 ninguna vulnerabilidad desconocida en WhatsApp.<\/p>\n<p>Es importante destacar que nuestro hallazgo es anterior a estas divulgaciones: la campa\u00f1a LANDFALL ya estaba operativa a mediados de 2024, utilizando la vulnerabilidad de d\u00eda cero de Android\/Samsung (CVE-2025-21042) meses antes de que fuera corregida.<\/p>\n<p>La vulnerabilidad ha sido par_c_hada desde abril de 2025, por lo que no existe un riesgo continuo para los usuarios actuales de Samsung. En septiembre, Samsung tambi\u00e9n par_c_h\u00f3 otra vulnerabilidad de d\u00eda cero (CVE-2025-21043) en la misma biblioteca de procesamiento de im\u00e1genes, protegiendo a\u00fan m\u00e1s contra este tipo de ataque. Nuestra investigaci\u00f3n no identific\u00f3 ninguna vulnerabilidad en WhatsApp y todo indica que solo se utiliz\u00f3 como ruta de entrega, probablemente debido a su uso prevalente por parte de los objetivos de esta actividad.<\/p>\n<p>Nuestra investigaci\u00f3n analiza la explotaci\u00f3n hist\u00f3rica que ocurri\u00f3 antes del parche, proporcionando una visibilidad poco com\u00fan de una operaci\u00f3n de spyware avanzada que no se hab\u00eda informado p\u00fablicamente.<\/p>\n<p>Hallazgos clave:<\/p>\n<ul>\n<li>LANDFALL es un spyware de Android dise\u00f1ado espec\u00edficamente contra dispositivos Samsung Galaxy, utilizado en actividades de intrusi\u00f3n dirigidas en el Medio Oriente.<\/li>\n<li>LANDFALL permiti\u00f3 una vigilancia integral, incluida la grabaci\u00f3n de micr\u00f3fono, el seguimiento de la ubicaci\u00f3n y la recopilaci\u00f3n de fotos, contactos y registros de llamadas.<\/li>\n<li>El spyware se entrega a trav\u00e9s de archivos de imagen DNG malformados que explotan CVE-2025-21042, una vulnerabilidad cr\u00edtica de d\u00eda cero en la biblioteca de procesamiento de im\u00e1genes de Samsung, que fue explotada <em>in-the-wild<\/em>.<\/li>\n<li>La cadena de <em>exploit<\/em> posiblemente implic\u00f3 la entrega de cero clic a trav\u00e9s de WhatsApp, utilizando im\u00e1genes maliciosamente dise\u00f1adas, similar a las cadenas de <em>exploit<\/em> recientes vistas en iOS y Samsung Galaxy.<\/li>\n<li>La campa\u00f1a comparte infraestructura y patrones de <em>tradecraft<\/em> (t\u00e1cticas, t\u00e9cnicas y procedimientos) con operaciones de spyware comercial en el Medio Oriente, lo que indica posibles v\u00ednculos con actores ofensivos del sector privado (PSOA, por <em>private-sector offensive actors<\/em>).<\/li>\n<li>LANDFALL permaneci\u00f3 activo y sin ser detectado durante meses.<\/li>\n<\/ul>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos a trav\u00e9s de los siguientes productos y servicios:<\/p>\n<ul>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\">Advanced WildFire<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\">Advanced DNS Security<\/a><\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a><\/li>\n<\/ul>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, comun\u00edquese con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de la Unit 42<\/a>.<\/p>\n<table style=\"width: 95.4485%;\">\n<thead>\n<tr>\n<td style=\"width: 35%;\"><strong>Temas relacionados de Unit 42<\/strong><\/td>\n<td style=\"width: 219.266%;\"><a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/tag\/samsung-es-la\/\" target=\"_blank\" rel=\"noopener\"><b>Samsung<\/b><\/a>, <strong><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21043\" target=\"_blank\" rel=\"noopener\">Vulnerabilidades<\/a><\/strong><\/td>\n<\/tr>\n<\/thead>\n<\/table>\n<h2><a id=\"post-164723-_dtjmgpti4ny3\"><\/a>Descubrimiento del spyware LANDFALL<\/h2>\n<p>A mediados de 2025, tras la divulgaci\u00f3n p\u00fablica de una cadena de exploit dirigida a dispositivos iOS, buscamos muestras del exploit de iOS. Esto nos llev\u00f3 a descubrir el spyware de Android que llamamos LANDFALL.<\/p>\n<p>Espec\u00edficamente, Unit 42 descubri\u00f3 varias muestras de archivos de imagen DNG que conten\u00edan spyware de Android utilizado en una cadena de exploit dirigida a dispositivos Samsung Galaxy. Nuestro an\u00e1lisis confirm\u00f3 que estas muestras explotan<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21042\" target=\"_blank\" rel=\"noopener\"> CVE-2025-21042<\/a> para entregar LANDFALL, posiblemente mediante exploits <em>zero-click<\/em> en aplicaciones de mensajer\u00eda.<\/p>\n<h3><a id=\"post-164723-_avy72fu4q5cx\"><\/a>Comenzando la Cacer\u00eda: La Cadena de Exploit de iOS y C\u00f3mo Nos Hizo Dudar<\/h3>\n<p>En agosto de 2025, Apple emiti\u00f3 actualizaciones de seguridad del sistema operativo para sus diversos productos para abordar<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-43300\" target=\"_blank\" rel=\"noopener\"> CVE-2025-43300<\/a>, una vulnerabilidad de d\u00eda cero que afecta el an\u00e1lisis de im\u00e1genes DNG que, seg\u00fan se informa, los atacantes explotaron <em>in-the-wild<\/em>.<\/p>\n<p>Ese mismo mes,<a href=\"https:\/\/www.whatsapp.com\/security\/advisories\/2025\/\" target=\"_blank\" rel=\"noopener\"> WhatsApp report\u00f3 una vulnerabilidad de d\u00eda cero<\/a> para<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-55177\" target=\"_blank\" rel=\"noopener\"> CVE-2025-55177<\/a> que se encaden\u00f3 con la vulnerabilidad de procesamiento de im\u00e1genes para plataformas Apple en ataques sofisticados dirigidos a dispositivos iOS. La vulnerabilidad de WhatsApp permit\u00eda a los atacantes forzar a los dispositivos a procesar contenido de URL arbitrarias.<\/p>\n<p>Cuando las dos vulnerabilidades se combinaron en una cadena de exploit, esto permiti\u00f3 la ejecuci\u00f3n remota de c\u00f3digo (<em>remote code execution<\/em> o RCE) <em>zero-click<\/em> a trav\u00e9s de im\u00e1genes maliciosamente dise\u00f1adas enviadas a trav\u00e9s de mensajes de WhatsApp.<\/p>\n<p>Dada la divulgaci\u00f3n de esta cadena de exploit <em>in-the-wild<\/em> y la ausencia de muestras de exploit disponibles p\u00fablicamente, iniciamos una cacer\u00eda (<em>hunt<\/em>) de esta actividad. Nuestra b\u00fasqueda llev\u00f3 al descubrimiento de varios archivos de imagen DNG no detectados previamente que conten\u00edan spyware de Android incrustado, los cuales fueron subidos a VirusTotal a lo largo de 2024 y principios de 2025.<\/p>\n<p>A juzgar por sus nombres de archivo (por ejemplo, <span style=\"font-family: 'courier new', courier, monospace;\">WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg<\/span> e <span style=\"font-family: 'courier new', courier, monospace;\">IMG-20240723-WA0000.jpg<\/span>), los atacantes probablemente entregaron estas muestras a trav\u00e9s de WhatsApp. Nuestro an\u00e1lisis del spyware incrustado indica que est\u00e1 dise\u00f1ado para dispositivos Samsung Galaxy.<\/p>\n<h3><a id=\"post-164723-_qc56l58fkugn\"><\/a>Archivos de Imagen DNG Malformados: Una Nueva Tendencia de Vector de Ataque<\/h3>\n<p>Nuestro an\u00e1lisis del spyware LANDFALL comenz\u00f3 con nuestro descubrimiento de<a href=\"https:\/\/www.adobe.com\/creativecloud\/file-types\/image\/raw\/dng-file.html\" target=\"_blank\" rel=\"noopener\"> archivos de imagen DNG<\/a> malformados. DNG significa <em>Digital Negative<\/em> (Negativo Digital), y es un formato de archivo de imagen RAW basado en el formato de imagen TIFF. Los archivos de imagen DNG malformados que descubrimos tienen un archivo ZIP incrustado adjunto al final del archivo. La Figura 1 muestra una de estas muestras en un editor hexadecimal, indicando d\u00f3nde comienza el contenido del archivo ZIP cerca del final del archivo.<\/p>\n<figure id=\"attachment_164724\" aria-describedby=\"caption-attachment-164724\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164724 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-202671-164723-1.png\" alt=\"Captura de pantalla de un visor hexadecimal que muestra el contenido de un archivo de imagen de WhatsApp llamado &quot;WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg&quot;, que indica el inicio de un archivo ZIP incrustado dentro de los datos del archivo.\" width=\"800\" height=\"560\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-202671-164723-1.png 1790w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-202671-164723-1-629x440.png 629w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-202671-164723-1-1001x700.png 1001w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-202671-164723-1-768x537.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-202671-164723-1-1536x1074.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-164724\" class=\"wp-caption-text\">Figura 1. Ejemplo de una imagen DNG malformada con un archivo ZIP incrustado.<\/figcaption><\/figure>\n<p>Nuestro an\u00e1lisis indica que estos archivos DNG explotan CVE-2025-21042, una vulnerabilidad en la biblioteca de procesamiento de im\u00e1genes de Samsung <span style=\"font-family: 'courier new', courier, monospace;\">libimagecodec.quram.so<\/span> que<a href=\"https:\/\/security.samsungmobile.com\/securityUpdate.smsb?year=2025\" target=\"_blank\" rel=\"noopener\"> Samsung parch\u00f3 en abril de 2025<\/a>. El exploit extrae archivos de biblioteca de objetos compartidos (<span style=\"font-family: 'courier new', courier, monospace;\">.so<\/span>) del archivo ZIP incrustado para ejecutar el spyware LANDFALL. La Figura 2 a continuaci\u00f3n muestra un diagrama de flujo para este spyware.<\/p>\n<figure id=\"attachment_164790\" aria-describedby=\"caption-attachment-164790\" style=\"width: 900px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164790 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/Es-2-Samsung-568x440.png\" alt=\"Diagrama de flujo que describe el spyware LANDFALL para Android. Comienza con un archivo de imagen .dng malformado que contiene un archivo .zip incrustado, el cual incluye un componente cargador y un archivo comprimido XZ. Esto lleva a la extracci\u00f3n de componentes adicionales y un archivo descomprimido para manipular la pol\u00edtica de SELinux.\" width=\"900\" height=\"697\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/Es-2-Samsung-568x440.png 568w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/Es-2-Samsung-904x700.png 904w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/Es-2-Samsung-768x595.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/Es-2-Samsung.png 1103w\" sizes=\"(max-width: 900px) 100vw, 900px\" \/><figcaption id=\"caption-attachment-164790\" class=\"wp-caption-text\">Figura 2. Diagrama de flujo del spyware LANDFALL.<\/figcaption><\/figure>\n<p>La Tabla 1 muestra las muestras de im\u00e1genes DNG que descubrimos.<\/p>\n<table>\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 36.754%;\"><b>Hash SHA256<\/b><\/td>\n<td style=\"text-align: center; width: 38.0996%;\"><b>Nombre de archivo<\/b><\/td>\n<td style=\"text-align: center; width: 25.0227%;\"><b>Visto por primera vez<\/b><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 36.754%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">9297888746158e38d320b05b27b0032b2cc29231be8990d87bc46f1e06456f93<\/span><\/td>\n<td style=\"width: 38.0996%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg<\/span><\/td>\n<td style=\"width: 25.0227%;\"><span style=\"font-weight: 400;\">Feb. 10, 2025<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 36.754%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b06dec10e8ad0005ebb9da24204c96cb2e297bd8d418bc1c8983d066c0997756<\/span><\/td>\n<td style=\"width: 38.0996%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IMG-20250120-WA0005.jpg<\/span><\/td>\n<td style=\"width: 25.0227%;\"><span style=\"font-weight: 400;\">Jan. 20, 2025<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 36.754%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">c0f30c2a2d6f95b57128e78dc0b7180e69315057e62809de1926b75f86516b2e<\/span><\/td>\n<td style=\"width: 38.0996%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">WhatsApp Image 2024-08-27 at 11.48.40 AM.jpeg<\/span><\/td>\n<td style=\"width: 25.0227%;\"><span style=\"font-weight: 400;\">Aug. 27, 2024<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 36.754%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b975b499baa3119ac5c2b3379306d4e50b9610e9bba3e56de7dfd3927a96032d<\/span><\/td>\n<td style=\"width: 38.0996%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">PHOTO-2024-08-27-11-48-41.jpg<\/span><\/td>\n<td style=\"width: 25.0227%;\"><span style=\"font-weight: 400;\">Aug. 27, 2024<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 36.754%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">29882a3c426273a7302e852aa77662e168b6d44dcebfca53757e29a9cdf02483<\/span><\/td>\n<td style=\"width: 38.0996%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IMG-20240723-WA0001.jpg<\/span><\/td>\n<td style=\"width: 25.0227%;\"><span style=\"font-weight: 400;\">July 23, 2024<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 36.754%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b45817ffb0355badcc89f2d7d48eecf00ebdf2b966ac986514f9d971f6c57d18<\/span><\/td>\n<td style=\"width: 38.0996%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">IMG-20240723-WA0000.jpg<\/span><\/td>\n<td style=\"width: 25.0227%;\"><span style=\"font-weight: 400;\">July 23, 2024<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 1. Archivos DNG con malware incrustado.<\/span><\/p>\n<p>Los nombres de archivo con cadenas como <span style=\"font-family: 'courier new', courier, monospace;\">WhatsApp Image<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">WA000<\/span> implican que los atacantes podr\u00edan haber intentado entregar el spyware de Android incrustado a trav\u00e9s de WhatsApp. Esto coincide con<a href=\"https:\/\/thehackernews.com\/2025\/08\/whatsapp-issues-emergency-update-for.html\" target=\"_blank\" rel=\"noopener\"> informes p\u00fablicos anteriores<\/a> de explotaci\u00f3n similar basada en im\u00e1genes DNG a trav\u00e9s de WhatsApp dirigida a dispositivos Apple. Adem\u00e1s, los investigadores de WhatsApp identificaron y reportaron una vulnerabilidad DNG similar,<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21043\" target=\"_blank\" rel=\"noopener\"> CVE-2025-21043<\/a>,<a href=\"https:\/\/security.samsungmobile.com\/securityUpdate.smsb\" target=\"_blank\" rel=\"noopener\"> a Samsung<\/a>.<\/p>\n<h3><a id=\"post-164723-_af9xe548ri17\"><\/a>Distribuci\u00f3n del spyware LANDFALL: Cadenas de exploits de malware para dispositivos m\u00f3viles<\/h3>\n<p>Generalmente, el malware para dispositivos m\u00f3viles distribuido mediante exploits requiere una cadena de exploits a trav\u00e9s de diferentes vulnerabilidades para lograr una infecci\u00f3n exitosa. Diversos estudios han documentado <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21043\" target=\"_blank\" rel=\"noopener\">casos de al menos dos vulnerabilidades<\/a> al distribuir spyware, pero las cadenas de exploits modernas para el spyware <a href=\"https:\/\/storage.googleapis.com\/gweb-uniblog-publish-prod\/documents\/Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors_-_TAG_report.pdf#page=22\" target=\"_blank\" rel=\"noopener\">son mucho m\u00e1s complejas<\/a>, vinculando m\u00faltiples vulnerabilidades para comprometer dispositivos m\u00f3viles y ganar privilegios.<\/p>\n<p>A\u00fan no hemos descubierto ning\u00fan exploit adicional asociado a esta actividad.<\/p>\n<p>Consulte la secci\u00f3n posterior, \u201cC\u00f3mo LANDFALL encaja en el panorama general,\u201d para obtener una descripci\u00f3n m\u00e1s completa de las vulnerabilidades conocidas involucradas en esta y otras cadenas de exploits similares.<\/p>\n<h2><a id=\"post-164723-_dj2cefhx4h2i\"><\/a>An\u00e1lisis del Spyware LANDFALL<\/h2>\n<p>LANDFALL es un spyware para Android dise\u00f1ado espec\u00edficamente para dispositivos Samsung Galaxy, probablemente utilizado en actividades de intrusi\u00f3n dirigidas en Medio Oriente. Este spyware modular est\u00e1 dise\u00f1ado para el espionaje y la exfiltraci\u00f3n de datos.<\/p>\n<p>La cadena de infecci\u00f3n de LANDFALL involucra un exploit para CVE-2025-21042, una vulnerabilidad en la biblioteca de procesamiento de im\u00e1genes de Samsung rastreada por el proveedor con el designador SVE (Samsung Vulnerabilities and Exposures) SVE-2024-1969. Creemos que una cadena de ataque completa seguir\u00eda un patr\u00f3n de posible ejecuci\u00f3n remota de c\u00f3digo <em>zero-click<\/em>, comenzando con la entrega de las im\u00e1genes DNG malformadas.<\/p>\n<p>Dos componentes del spyware LANDFALL est\u00e1n incrustados dentro de las im\u00e1genes DNG malformadas y ser\u00edan extra\u00eddos y ejecutados, tras un exploit exitoso:<\/p>\n<ul>\n<li><strong>Cargador (<span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span>):<\/strong> Un objeto compartido ELF ARM64 (106 KB, <em>stripped<\/em> y vinculado din\u00e1micamente) que sirve como el backdoor principal.<\/li>\n<li><strong>Manipulador de Pol\u00edticas SELinux (<span style=\"font-family: 'courier new', courier, monospace;\">l.so<\/span>):<\/strong> Extra\u00eddo de un binario ELF comprimido con XZ, este componente est\u00e1 dise\u00f1ado para manipular la pol\u00edtica SELinux del dispositivo para otorgar a LANDFALL permisos elevados y ayudar a la persistencia. (Ap\u00e9ndice A - Manipulaci\u00f3n de la Pol\u00edtica SELinux)<\/li>\n<\/ul>\n<p>La Tabla 2 muestra los archivos componentes de LANDFALL incrustados dentro de las muestras DNG maliciosas.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr style=\"height: 48px;\">\n<td style=\"width: 53.7472%; height: 48px;\"><b>Hash SHA256<\/b><\/td>\n<td style=\"width: 28.1862%; height: 48px;\"><b>Componente LANDFALL<\/b><\/td>\n<td style=\"width: 16.9568%; height: 48px;\"><b>Visto por primera vez<\/b><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 53.7472%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ffeeb0356abb56c5084756a5ab0a39002832403bca5290bb6d794d14b642ffe2<\/span><\/td>\n<td style=\"width: 28.1862%; height: 25px;\"><span style=\"font-weight: 400;\">Componente <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so <\/span><\/td>\n<td style=\"width: 16.9568%; height: 25px;\"><span style=\"font-weight: 400;\">July 23, 2024<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 53.7472%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">d2fafc7100f33a11089e98b660a85bd479eab761b137cca83b1f6d19629dd3b0<\/span><\/td>\n<td style=\"width: 28.1862%; height: 25px;\"><span style=\"font-weight: 400;\">Componente <span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so<\/span><\/span><\/td>\n<td style=\"width: 16.9568%; height: 25px;\"><span style=\"font-weight: 400;\">Aug. 27, 2024<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 53.7472%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">a62a2400bf93ed84ebadf22b441924f904d3fcda7d1507ba309a4b1801d44495<\/span><\/td>\n<td style=\"width: 28.1862%; height: 25px;\"><span style=\"font-weight: 400;\">Componente <span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so<\/span><\/span><\/td>\n<td style=\"width: 16.9568%; height: 25px;\"><span style=\"font-weight: 400;\">Jan. 23, 2025<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 53.7472%; height: 25px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">384f073d3d51e0f2e1586b6050af62de886ff448735d963dfc026580096d81bd<\/span><\/td>\n<td style=\"width: 28.1862%; height: 25px;\"><span style=\"font-weight: 400;\">Componente <span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so<\/span><\/span><\/td>\n<td style=\"width: 16.9568%; height: 25px;\"><span style=\"font-weight: 400;\">Feb. 10, 2025<\/span><\/td>\n<\/tr>\n<tr style=\"height: 73px;\">\n<td style=\"width: 53.7472%; height: 73px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">211311468f3673f005031d5f77d4d716e80cbf3c1f0bb1f148f2200920513261<\/span><\/td>\n<td style=\"width: 28.1862%; height: 73px;\"><span style=\"font-weight: 400;\">Archivo comprimido XZ (<span style=\"font-family: 'courier new', courier, monospace;\">l<\/span>) para el manipulador de pol\u00edticas SELinux<\/span><\/td>\n<td style=\"width: 16.9568%; height: 73px;\"><span style=\"font-weight: 400;\">July 23, 2024<\/span><\/td>\n<\/tr>\n<tr style=\"height: 97px;\">\n<td style=\"width: 53.7472%; height: 97px;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">69cf56ac6f3888efa7a1306977f431fd1edb369a5fd4591ce37b72b7e01955ee<\/span><\/td>\n<td style=\"width: 28.1862%; height: 97px;\"><span style=\"font-weight: 400;\">Manipulador de pol\u00edticas SELinux (<span style=\"font-family: 'courier new', courier, monospace;\">l.so<\/span>) extra\u00eddo del archivo comprimido XZ<\/span><\/td>\n<td style=\"width: 16.9568%; height: 97px;\"><span style=\"font-weight: 400;\">July 23, 2024<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 2. Componentes de LANDFALL incrustados en los archivos de imagen DNG.<\/span><\/p>\n<h4><span style=\"font-weight: 400;\">Nuestro an\u00e1lisis indica que LANDFALL es un spyware de Android multicomponente dise\u00f1ado para monitoreo y exfiltraci\u00f3n de datos.<\/span><\/h4>\n<h4><span style=\"font-weight: 400;\">Nuestro an\u00e1lisis se centra en el componente <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so<\/span><span style=\"font-weight: 400;\">, que sirve como el cargador inicial para un framework LANDFALL m\u00e1s amplio. En sus propios artefactos de depuraci\u00f3n, el componente se refiere a s\u00ed mismo como \"Bridge Head\" (Cabeza de Puente). Esto ser\u00e1 de inter\u00e9s m\u00e1s adelante cuando discutamos las posibles relaciones entre LANDFALL y grupos de spyware conocidos.<\/span><\/h4>\n<h3>Capacidades Potenciales de LANDFALL<\/h3>\n<h4><span style=\"font-weight: 400;\">El componente <\/span><span style=\"font-weight: 400;\">b.so<\/span><span style=\"font-weight: 400;\"> de LANDFALL contiene numerosas cadenas de depuraci\u00f3n y estado, pero no contiene la l\u00f3gica que realmente hace referencia a la mayor\u00eda de estas cadenas. Esto sugiere que <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so<\/span><span style=\"font-weight: 400;\"> descargar\u00eda componentes adicionales para estas capacidades. Nuestro an\u00e1lisis de las cadenas de comando incrustadas y las rutas de ejecuci\u00f3n dentro del archivo <\/span><span style=\"font-weight: 400;\">b.so<\/span><span style=\"font-weight: 400;\"> proporciona informaci\u00f3n sobre las capacidades potenciales m\u00e1s amplias de LANDFALL.<\/span><\/h4>\n<h4><span style=\"font-weight: 400;\">Huella Digital del Dispositivo (<\/span><i><span style=\"font-weight: 400;\">Device Fingerprinting<\/span><\/i><span style=\"font-weight: 400;\">)<\/span><\/h4>\n<ul>\n<li><span style=\"font-weight: 400;\">Versi\u00f3n del SO<\/span><\/li>\n<li><span style=\"font-weight: 400;\">ID de hardware (IMEI)<\/span><\/li>\n<li><span style=\"font-weight: 400;\">ID de SIM\/Suscriptor (IMSI)<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Serie de la tarjeta SIM<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Cuenta de usuario<\/span><\/li>\n<li><span style=\"font-weight: 400;\">N\u00famero de correo de voz<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Configuraci\u00f3n de red<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Inventario de aplicaciones instaladas<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Acceso a servicios de ubicaci\u00f3n<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Estado de VPN<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Estado de depuraci\u00f3n USB<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Bluetooth<\/span><\/li>\n<\/ul>\n<h4><span style=\"font-weight: 400;\">Exfiltraci\u00f3n de Datos<\/span><\/h4>\n<ul>\n<li><span style=\"font-weight: 400;\">Grabaci\u00f3n de micr\u00f3fono<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Grabaci\u00f3n de llamadas<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Historial de llamadas<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Base de datos de contactos<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Datos de SMS\/mensajer\u00eda<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Fotos de la c\u00e1mara<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Archivos arbitrarios<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Bases de datos en el dispositivo (historial de navegaci\u00f3n, etc.)<\/span><\/li>\n<\/ul>\n<h4><span style=\"font-weight: 400;\">Ejecuci\u00f3n, Carga y Persistencia<\/span><\/h4>\n<ul>\n<li><span style=\"font-weight: 400;\">Carga de m\u00f3dulos de objetos compartidos nativos (<span style=\"font-family: 'courier new', courier, monospace;\">.so<\/span>)<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Carga y ejecuci\u00f3n de archivos DEX desde memoria y disco<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Inyecci\u00f3n de procesos<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Ejecuci\u00f3n mediante <\/span><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">LD_PRELOAD<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Ejecuci\u00f3n de comandos arbitrarios<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Manipulaci\u00f3n de SELinux<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Persistencia<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Modificaci\u00f3n de la pol\u00edtica SELinux mediante binario comprimido<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Monitoreo del directorio de medios de WhatsApp para payloads adicionales<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Registro del cliente web de WhatsApp<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Manipulaci\u00f3n del sistema de archivos en directorios de aplicaciones de Android<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Manipulaci\u00f3n del sistema de archivos<\/span><\/li>\n<\/ul>\n<h4><span style=\"font-weight: 400;\">Evasi\u00f3n y Elusi\u00f3n de Defensas<\/span><\/h4>\n<ul>\n<li><span style=\"font-weight: 400;\">Detecci\u00f3n del depurador TracerPid<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Detecci\u00f3n del framework de instrumentaci\u00f3n Frida<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Detecci\u00f3n del framework Xposed<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Carga din\u00e1mica de bibliotecas con manipulaci\u00f3n de <\/span><i><span style=\"font-weight: 400;\">namespaces<\/span><\/i><\/li>\n<li><i><span style=\"font-weight: 400;\">Certificate pinning<\/span><\/i><span style=\"font-weight: 400;\"> para comunicaciones C2<\/span><\/li>\n<li><span style=\"font-weight: 400;\">Limpieza del payload de im\u00e1genes de WhatsApp<\/span><\/li>\n<\/ul>\n<h4>Modelos de dispositivos objetivo<\/h4>\n<ul>\n<li>Galaxy S23 Series (S91[168]BXX.*)<\/li>\n<li>Galaxy S24 Series (S921BXXU1AWM9, S92[168]BXX.*)<\/li>\n<li>Galaxy Z Fold4 (F936BXXS4DWJ1)<\/li>\n<li>Galaxy S22 (S901EXXS4CWD1)<\/li>\n<li>Galaxy Z Flip4 (F721BXXU1CWAC)<\/li>\n<\/ul>\n<p>La Figura 3 muestra un ejemplo de las cadenas de modelos de dispositivos objetivo en una muestra b.so de LANDFALL.<\/p>\n<figure id=\"attachment_164746\" aria-describedby=\"caption-attachment-164746\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164746 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-209420-164723-3.png\" alt=\"Captura de pantalla de una pantalla de computadora que muestra un software editor hexadecimal con valores hexadecimales y caracteres ASCII correspondientes. Una selecci\u00f3n est\u00e1 resaltada en un recuadro rojo.\" width=\"800\" height=\"319\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-209420-164723-3.png 1534w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-209420-164723-3-786x314.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-209420-164723-3-768x306.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-164746\" class=\"wp-caption-text\">Figura 3. Muestra b.so de LANDFALL en un editor hexadecimal que muestra los n\u00fameros de modelo de dispositivos objetivo.<\/figcaption><\/figure>\n<h3><a id=\"post-164723-_7fxxvjlbtqjq\"><\/a>Comunicaci\u00f3n C2<\/h3>\n<p>El componente <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> de LANDFALL se comunica con su servidor C2 a trav\u00e9s de HTTPS utilizando un puerto TCP ef\u00edmero no est\u00e1ndar. Antes del tr\u00e1fico HTTPS, puede iniciar tr\u00e1fico de <em>ping<\/em> como se detalla en la secci\u00f3n Comunicaci\u00f3n con el servidor C2 del Ap\u00e9ndice B. Para el tr\u00e1fico HTTPS, <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> inicia el contacto con una solicitud POST que contiene informaci\u00f3n detallada del dispositivo y del <em>spyware<\/em>, como:<\/p>\n<ul>\n<li>ID del agente<\/li>\n<li>Ruta del dispositivo<\/li>\n<li>ID de usuario<\/li>\n<\/ul>\n<p>La Figura 4 muestra una interpretaci\u00f3n de esta solicitud POST inicial, donde usamos <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> para mostrar c\u00f3mo se estructurar\u00eda esta solicitud. Es de notar que LANDFALL no usa <span style=\"font-family: 'courier new', courier, monospace;\">curl<\/span> para generar este tr\u00e1fico.<\/p>\n<figure id=\"attachment_164757\" aria-describedby=\"caption-attachment-164757\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164757 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-211915-164723-4.png\" alt=\"Captura de pantalla de una ventana de terminal que muestra un comando curl, utilizado para acceder a una API, con varias cabeceras (headers) especificadas, como user-agent y content-type.\" width=\"800\" height=\"244\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-211915-164723-4.png 1788w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-211915-164723-4-786x240.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-211915-164723-4-768x235.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-211915-164723-4-1536x469.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-164757\" class=\"wp-caption-text\">Figura 4. Estructura de la solicitud HTTP POST cuando b.so contacta inicialmente al servidor C2.<\/figcaption><\/figure>\n<p>El tr\u00e1fico de baliza (<em>beacon<\/em>) inicial es una solicitud HTTP POST al servidor C2 con los siguientes par\u00e1metros:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">protocol<\/span>: La versi\u00f3n del protocolo (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">A1.5.0<\/span>)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">protocol_ver:<\/span> La versi\u00f3n del protocolo (p. ej., \"\")<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">type<\/span>: El tipo de mensaje (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">MSG_TYPE_GET_AGENT<\/span>)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">agent_id<\/span>: El identificador \u00fanico del agente<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">upload_id<\/span>: Un identificador de carga<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">command_id<\/span>: Un identificador de comando<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">source<\/span>: La fuente de la solicitud (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">bridge_head<\/span>)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">incremental_build<\/span>: La versi\u00f3n de compilaci\u00f3n incremental (p. ej.,<span style=\"font-family: 'courier new', courier, monospace;\"> v1.5.0<\/span>)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">euid<\/span>: El ID de usuario efectivo del proceso<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">bh_path<\/span>: La ruta al binario <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> en el dispositivo<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">runner:<\/span> El modo de ejecuci\u00f3n (p. ej., I)<\/li>\n<\/ul>\n<h3><a id=\"post-164723-_p2ghlz7cwaqq\"><\/a>Configuraci\u00f3n del archivo b.so<\/h3>\n<p>La configuraci\u00f3n del archivo <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> se gestiona a trav\u00e9s de una combinaci\u00f3n de valores predeterminados codificados (<em>hard-coded<\/em>) y un objeto JSON cifrado incrustado dentro de s\u00ed mismo. Esta configuraci\u00f3n incluye detalles de C2, claves criptogr\u00e1ficas e identificadores \u00fanicos para el agente y los comandos.<\/p>\n<p>La Figura 5 muestra un ejemplo de esta configuraci\u00f3n.<\/p>\n<figure id=\"attachment_164768\" aria-describedby=\"caption-attachment-164768\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164768 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-214449-164723-5.png\" alt=\"Captura de pantalla de un fragmento de c\u00f3digo con varias claves y valores, incluidas direcciones IP, ID y rutas de archivos, que menciona detalles espec\u00edficos de dispositivos Samsung.\" width=\"800\" height=\"353\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-214449-164723-5.png 1718w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-214449-164723-5-786x347.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-214449-164723-5-1587x700.png 1587w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-214449-164723-5-768x339.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-214449-164723-5-1536x678.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-164768\" class=\"wp-caption-text\">Figura 5. Ejemplo de la configuraci\u00f3n de LANDFALL.<\/figcaption><\/figure>\n<p>Este componente <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> de LANDFALL tambi\u00e9n contiene una serie de valores de configuraci\u00f3n codificados. Estos se utilizan como valores predeterminados si no se proporcionan en el objeto JSON cifrado. A\u00fan no entendemos completamente el prop\u00f3sito de algunos de estos valores. La Tabla 3 muestra estos valores de configuraci\u00f3n predeterminados codificados.<\/p>\n<table style=\"width: 90.6071%;\">\n<thead>\n<tr>\n<th style=\"text-align: center; width: 66.1458%;\"><b>Nombre del campo<\/b><\/th>\n<th style=\"text-align: center; width: 228.906%;\"><b>Valor predeterminado<\/b><\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">allow_wifi<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">true<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">allow_mobile<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">true<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">allow_roaming<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">false<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">socket_timeout<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">5<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">sleep_time<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">60 (0x3c)<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">sleep_time_between_retries<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">35 (0x23)<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">suicide_time<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">7200 (0x1c20)<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">live_mode_expiration<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">0<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">allow_min_battery<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">0<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 66.1458%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">is_persistent<\/span><\/td>\n<td style=\"width: 228.906%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">false<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 3. Valores de configuraci\u00f3n predeterminados codificados para el malware LANDFALL.<\/span><\/p>\n<h2><a id=\"post-164723-_abznmzwl38r\"><\/a>Infraestructura C2 para el spyware LANDFALL<\/h2>\n<p>Basados en nuestro an\u00e1lisis de estas muestras, identificamos seis servidores C2 para LANDFALL, que se muestran a continuaci\u00f3n en la Tabla 4.<\/p>\n<table style=\"width: 98.3194%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center; width: 25%;\"><b>Direcci\u00f3n IP<\/b><\/td>\n<td style=\"text-align: center; width: 34.2247%;\"><b>Dominio<\/b><\/td>\n<td style=\"width: 22.1675%;\"><b>Visto por primera vez<\/b><\/td>\n<td style=\"text-align: center; width: 109.335%;\"><b>Visto por \u00faltima vez<\/b><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">194.76.224[.]127<\/span><\/td>\n<td style=\"width: 34.2247%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">brightvideodesigns[.]com<\/span><\/td>\n<td style=\"width: 22.1675%;\"><span style=\"font-weight: 400;\">Feb. 7, 2025<\/span><\/td>\n<td style=\"width: 109.335%;\"><span style=\"font-weight: 400;\">Sept. 19, 2025<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">91.132.92[.]35<\/span><\/td>\n<td style=\"width: 34.2247%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">hotelsitereview[.]com<\/span><\/td>\n<td style=\"width: 22.1675%;\"><span style=\"font-weight: 400;\">Feb. 3, 2025<\/span><\/td>\n<td style=\"width: 109.335%;\"><span style=\"font-weight: 400;\">Sept. 16, 2025<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">92.243.65[.]240<\/span><\/td>\n<td style=\"width: 34.2247%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">healthyeatingontherun[.]com<\/span><\/td>\n<td style=\"width: 22.1675%;\"><span style=\"font-weight: 400;\">Oct. 11, 2024<\/span><\/td>\n<td style=\"width: 109.335%;\"><span style=\"font-weight: 400;\">Sept. 2, 2025<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">192.36.57[.]56<\/span><\/td>\n<td style=\"width: 34.2247%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">projectmanagerskills[.]com<\/span><\/td>\n<td style=\"width: 22.1675%;\"><span style=\"font-weight: 400;\">Feb. 3, 2025<\/span><\/td>\n<td style=\"width: 109.335%;\"><span style=\"font-weight: 400;\">Aug. 26, 2025<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">46.246.28[.]75<\/span><\/td>\n<td style=\"width: 34.2247%;\"><span style=\"font-weight: 400;\">Unknown<\/span><\/td>\n<td style=\"width: 22.1675%;\"><span style=\"font-weight: 400;\">Unknown<\/span><\/td>\n<td style=\"width: 109.335%;\"><span style=\"font-weight: 400;\">Unknown<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 25%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">45.155.250[.]158<\/span><\/td>\n<td style=\"width: 34.2247%;\"><span style=\"font-weight: 400;\">Unknown<\/span><\/td>\n<td style=\"width: 22.1675%;\"><span style=\"font-weight: 400;\">Unknown<\/span><\/td>\n<td style=\"width: 109.335%;\"><span style=\"font-weight: 400;\">Unknown<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 4. Servidores C2 de LANDFALL.<\/span><\/p>\n<h2><a id=\"post-164723-_s4m2d0is1trv\"><\/a>C\u00f3mo Encaja LANDFALL en el Panorama General<\/h2>\n<p>LANDFALL es un ejemplo de un patr\u00f3n m\u00e1s amplio de cadenas de exploit que afectan a dispositivos m\u00f3viles, relacionadas con vulnerabilidades de procesamiento de im\u00e1genes DNG.<\/p>\n<p>El uso de un archivo DNG malformado por parte de la campa\u00f1a LANDFALL resalta un vector de ataque significativo y recurrente: el ataque a vulnerabilidades dentro de las bibliotecas de procesamiento de im\u00e1genes DNG. La falla espec\u00edfica que LANDFALL explot\u00f3, CVE-2025-21042, no es un caso aislado, sino parte de un patr\u00f3n m\u00e1s amplio de problemas similares encontrados en m\u00faltiples plataformas m\u00f3viles. De hecho, a principios de 2025, Samsung identific\u00f3 otra falla DNG en la misma biblioteca de Samsung, CVE-2025-21043, y se identific\u00f3 la cadena de exploit paralela en iOS que aprovechaba CVE-2025-43300 en Apple iOS y CVE-2025-55177 en WhatsApp.<\/p>\n<h3><a id=\"post-164723-_xanehqunlamx\"><\/a>Relaci\u00f3n con CVE-2025-21043 (SVE-2025-1702)<\/h3>\n<p>Nuestro an\u00e1lisis revel\u00f3 una posible conexi\u00f3n con una vulnerabilidad separada en la misma biblioteca, <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21043\" target=\"_blank\" rel=\"noopener\">CVE-2025-21043<\/a> (SVE-2025-1702), que Samsung parch\u00f3 en su actualizaci\u00f3n de seguridad de septiembre de 2025. Si bien no se explot\u00f3 en las muestras de LANDFALL que descubrimos, las similitudes entre el exploit para LANDFALL (CVE-2025-21042) y esta vulnerabilidad (CVE-2025-21043) son sorprendentes. Ambas vulnerabilidades se divulgaron p\u00fablicamente casi al mismo tiempo y ambas est\u00e1n conectadas al procesamiento de archivos de imagen DNG entregados a trav\u00e9s de aplicaciones de comunicaci\u00f3n m\u00f3vil.<\/p>\n<h3><a id=\"post-164723-_n5j96hka3lln\"><\/a>CVE-2025-43300 de Apple<\/h3>\n<p>En agosto de 2025, Apple abord\u00f3 CVE-2025-43300, una vulnerabilidad de d\u00eda cero que afectaba el an\u00e1lisis de im\u00e1genes DNG, que se explot\u00f3 activamente <em>in-the-wild<\/em>, para permitir la ejecuci\u00f3n remota de c\u00f3digo <em>zero-click<\/em> a trav\u00e9s de im\u00e1genes maliciosas enviadas a trav\u00e9s de aplicaciones de comunicaci\u00f3n m\u00f3vil.<\/p>\n<p>No podemos confirmar si esta cadena se utiliz\u00f3 para entregar un equivalente de LANDFALL a iOS, o si es el mismo actor de amenazas detr\u00e1s de los dos. Sin embargo, este desarrollo paralelo en el ecosistema de iOS, combinado con la divulgaci\u00f3n de las vulnerabilidades de Samsung y Apple con solo unas pocas semanas de diferencia, resalta un patr\u00f3n m\u00e1s amplio de vulnerabilidades de procesamiento de im\u00e1genes DNG que se aprovechan en sofisticados ataques de spyware m\u00f3vil.<\/p>\n<figure id=\"attachment_164801\" aria-describedby=\"caption-attachment-164801\" style=\"width: 1000px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-164801 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-6-Samsung-440x440.jpg\" alt=\"Gr\u00e1fico de l\u00ednea de tiempo que muestra los principales eventos de ciberseguridad de 2024 a 2025 que involucran a entidades como VirusTotal, Samsung, Apple y WhatsApp. Los eventos clave incluyen el descubrimiento de un archivo DNG malicioso en VirusTotal en julio de 2024 y varias actualizaciones y parches por parte de Samsung y Apple en respuesta a diferentes vulnerabilidades. La l\u00ednea de tiempo abarca desde julio de 2024 hasta septiembre de 2025.\" width=\"1000\" height=\"1000\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-6-Samsung-440x440.jpg 440w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-6-Samsung-700x700.jpg 700w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-6-Samsung-300x300.jpg 300w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-6-Samsung-768x768.jpg 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/ES-6-Samsung.jpg 1122w\" sizes=\"(max-width: 1000px) 100vw, 1000px\" \/><figcaption id=\"caption-attachment-164801\" class=\"wp-caption-text\">Figura 6. Cronolog\u00eda de archivos de imagen DNG maliciosos recientes y actividad de exploit asociada.<\/figcaption><\/figure>\n<ul>\n<li><strong>Julio 2024 \u2013 Febrero 2025:<\/strong> Las muestras iniciales de archivos de imagen DNG maliciosos que transportan LANDFALL se env\u00edan por primera vez a VirusTotal en julio de 2024, y aparecen muestras adicionales peri\u00f3dicamente durante los siguientes meses.\n<ul>\n<li>Los archivos DNG explotan una vulnerabilidad en la biblioteca de procesamiento de im\u00e1genes de Android de Samsung (SVE-2024-1969, CVE-2025-21042)<\/li>\n<\/ul>\n<\/li>\n<li><strong>25 sep. 2024:<\/strong> La vulnerabilidad que se convierte en CVE-2025-21042 se<a href=\"https:\/\/security.samsungmobile.com\/securityUpdate.smsb\" target=\"_blank\" rel=\"noopener\"> reporta privadamente a Samsung<\/a>.<\/li>\n<li><strong>Abril 2025:<\/strong> Samsung<a href=\"https:\/\/security.samsungmobile.com\/securityUpdate.smsb?year=2025\" target=\"_blank\" rel=\"noopener\"> publica una actualizaci\u00f3n de firmware<\/a> para abordar la vulnerabilidad, SVE-2024-1969, m\u00e1s tarde conocida como CVE-2025-21042 cuando se divulg\u00f3 p\u00fablicamente.<\/li>\n<li><strong>Agosto 2025:<\/strong> Ocurren desarrollos paralelos.\n<ul>\n<li>Apple parcha una vulnerabilidad de d\u00eda cero que afecta el an\u00e1lisis de im\u00e1genes DNG, que fue explotada activamente <em>in-the-wild<\/em> (CVE-2025-43300) y encadenada con la vulnerabilidad de WhatsApp (CVE-2025-5177).<\/li>\n<li>WhatsApp revela una vulnerabilidad (CVE-2025-55177) que se encaden\u00f3 con la vulnerabilidad de d\u00eda cero de an\u00e1lisis de im\u00e1genes DNG de Apple (CVE-2025-43300).<\/li>\n<li>Descubrimos archivos de imagen DNG que explotan CVE-2025-21042 para entregar spyware de Android que identificamos como LANDFALL.<\/li>\n<li>Samsung publica<a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21043\" target=\"_blank\" rel=\"noopener\"> CVE-2025-21043<\/a>, otra vulnerabilidad de d\u00eda cero relacionada con DNG.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Septiembre 2025:<\/strong> Samsung emite actualizaciones de firmware de dispositivos m\u00f3viles para CVE-2025-21043 (SVE-2025-1702). Al mismo tiempo, asigna CVE-2025-21042 (SVE-20254-1969) a la vulnerabilidad anterior que previamente no ten\u00eda designador CVE.<\/li>\n<\/ul>\n<h2><a id=\"post-164723-_ekqxiqgx30nd\"><\/a>V\u00edctimas potenciales<\/h2>\n<p>El an\u00e1lisis de los datos de env\u00edo de VirusTotal para los archivos DNG maliciosos indica objetivos potenciales en Irak, Ir\u00e1n, Turqu\u00eda y Marruecos.<\/p>\n<p>El CERT nacional de Turqu\u00eda (en turco, USOM) report\u00f3<a href=\"https:\/\/www.usom.gov.tr\/adres\/946134\" target=\"_blank\" rel=\"noopener\"> direcciones IP utilizadas por los servidores C2 de LANDFALL<\/a> como maliciosas, relacionadas con m\u00f3viles y APT, lo que tambi\u00e9n respalda el posible ataque a v\u00edctimas en Turqu\u00eda.<\/p>\n<h2><a id=\"post-164723-_vt3ot1ddz6sh\"><\/a>Relaci\u00f3n con grupos de spyware conocidos<\/h2>\n<p>Si bien no pudimos recuperar todos los componentes del <em>framework<\/em> LANDFALL, est\u00e1 claro que la herramienta es de grado comercial. Es posible que haya utilizado varios <em>exploits<\/em> de d\u00eda cero en su cadena de infecci\u00f3n.<\/p>\n<p>Estas herramientas a menudo son desarrolladas y vendidas como <em>spyware<\/em> comercial y atribuidas a grupos conocidos como actores ofensivos del sector privado (PSOA), que a menudo son entidades legales leg\u00edtimas. Seg\u00fan se informa, estos grupos brindan servicios a entidades gubernamentales.<\/p>\n<p>En este momento no pudimos<a href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/unit-42-attribution-framework\/\" target=\"_blank\" rel=\"noopener\"> atribuir oficialmente<\/a> la actividad de LANDFALL a un PSOA o actor de amenazas conocido. La Unit 42 rastrea la actividad relacionada con CVE-2025-21042 y LANDFALL como CL-UNK-1054.<\/p>\n<p>Dos aspectos son notables y vale la pena destacar.<\/p>\n<p>En primer lugar, la infraestructura C2 de LANDFALL y los patrones de registro de dominios comparten similitudes con la infraestructura asociada con<a href=\"https:\/\/attack.mitre.org\/groups\/G0038\/\" target=\"_blank\" rel=\"noopener\"> Stealth Falcon<\/a>, seg\u00fan lo observado por la Unit 42. Estas similitudes se basan en varios<a href=\"https:\/\/research.checkpoint.com\/2025\/stealth-falcon-zero-day\/\" target=\"_blank\" rel=\"noopener\"> informes<\/a><a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/stealth-falcon-preying-middle-eastern-skies-deadglyph\/\" target=\"_blank\" rel=\"noopener\"> p\u00fablicos<\/a>, as\u00ed como en la actividad de Stealth Falcon que hemos analizado para objetivos en Medio Oriente.<\/p>\n<p>En segundo lugar, en sus propios artefactos de depuraci\u00f3n, el componente de <em>spyware<\/em> que analizamos se refiere a s\u00ed mismo como \"Bridge Head\". Es de notar que el t\u00e9rmino <em>Bridge Head<\/em> (Cabeza de Puente) es un apodo com\u00fan utilizado por algunas compa\u00f1\u00edas ofensivas cibern\u00e9ticas del sector privado (incluidas<a href=\"https:\/\/www.amnesty.org\/en\/latest\/research\/2021\/07\/forensic-methodology-report-how-to-catch-nso-groups-pegasus\/\" target=\"_blank\" rel=\"noopener\"> NSO<\/a>,<a href=\"https:\/\/storage.googleapis.com\/gweb-uniblog-publish-prod\/documents\/Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors_-_TAG_report.pdf\" target=\"_blank\" rel=\"noopener\"> Variston<\/a>, Cytrox y Quadream) para los cargadores (<em>loaders<\/em>) de primera etapa. Sin embargo, esta convenci\u00f3n de nomenclatura por s\u00ed sola no constituye un v\u00ednculo de atribuci\u00f3n directa.<\/p>\n<p>Si bien este es un nombre com\u00fan utilizado en el <em>spyware<\/em> m\u00f3vil comercial para describir cargadores, presenta similitudes con el <em>framework<\/em> Heliconica. Este <em>framework<\/em> tambi\u00e9n contiene referencias a \"BridgeHead\", como<a href=\"https:\/\/storage.googleapis.com\/gweb-uniblog-publish-prod\/documents\/Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors_-_TAG_report.pdf?\" target=\"_blank\" rel=\"noopener\"> inform\u00f3 Google TAG<\/a> sobre el proveedor de <em>spyware<\/em> Variston.<a href=\"https:\/\/blog.google\/threat-analysis-group\/new-details-on-commercial-spyware-vendor-variston\/\" target=\"_blank\" rel=\"noopener\"> Google identific\u00f3<\/a> a Variston como un PSOA con sede en Barcelona (proveedor de <em>exploits<\/em>). An\u00e1lisis adicionales de Google y<a href=\"https:\/\/techcrunch.com\/2024\/02\/15\/variston-spyware-losing-staff-some-say-closing\/\"> otros informes<\/a> indicaron que las herramientas de Variston se suministraban a clientes en los Emiratos \u00c1rabes Unidos a trav\u00e9s de un revendedor llamado Protect Electronic Systems (o Protected AE).<\/p>\n<p>Este posible v\u00ednculo proveedor-cliente con los EAU es digno de menci\u00f3n, ya que<a href=\"https:\/\/learn.microsoft.com\/en-us\/unified-secops\/microsoft-threat-actor-naming\" target=\"_blank\" rel=\"noopener\"> Microsoft<\/a> y<a href=\"https:\/\/apt.etda.or.th\/cgi-bin\/showcard.cgi?g=Stealth%20Falcon,%20FruityArmor\"> otros<\/a> informaron que Stealth Falcon tambi\u00e9n opera intensamente desde ese pa\u00eds. Variston<a href=\"https:\/\/techcrunch.com\/2025\/02\/13\/barcelona-based-spyware-startup-variston-reportedly-shuts-down\/\" target=\"_blank\" rel=\"noopener\"> supuestamente ces\u00f3 sus operaciones<\/a> a principios de 2025 luego de su exposici\u00f3n p\u00fablica.<\/p>\n<p>A fecha de octubre de 2025, excepto en la infraestructura, no hemos observado superposiciones directas entre las campa\u00f1as m\u00f3viles de LANDFALL y la actividad basada en <em>endpoints<\/em> de Stealth Falcon, ni v\u00ednculos fuertes directos con Stealth Falcon. Sin embargo, vale la pena discutir las similitudes.<\/p>\n<h2><a id=\"post-164723-_kk29bl57vpyp\"><\/a>Conclusi\u00f3n<\/h2>\n<p>El descubrimiento del spyware LANDFALL revela una campa\u00f1a dirigida a dispositivos Android de Samsung. La cadena de exploit involucra CVE-2025-21042, una vulnerabilidad que fue parchada por Samsung en abril de 2025. La presencia de este spyware dentro de archivos de imagen DNG con convenciones de nomenclatura relacionadas con WhatsApp probablemente indica que los atacantes intentaron entregar el exploit a trav\u00e9s de una aplicaci\u00f3n de mensajer\u00eda.<\/p>\n<p>Desde la aparici\u00f3n inicial de muestras en julio de 2024, esta actividad resalta c\u00f3mo los <em>exploits<\/em> sofisticados pueden permanecer en repositorios p\u00fablicos durante un per\u00edodo prolongado antes de ser completamente comprendidos.<\/p>\n<p>El an\u00e1lisis del cargador (<em>loader<\/em>) revela evidencia de actividad de grado comercial. Los componentes del <em>spyware<\/em> LANDFALL sugieren capacidades avanzadas de sigilo, persistencia y recopilaci\u00f3n integral de datos de dispositivos Samsung modernos.<\/p>\n<p>Sin embargo, no hemos analizado directamente los componentes de la siguiente etapa del <em>spyware<\/em>. Detalles adicionales sobre esto o sobre el m\u00e9todo de entrega exacto proporcionar\u00edan a\u00fan m\u00e1s informaci\u00f3n sobre la actividad maliciosa.<\/p>\n<p>Los clientes de Palo Alto Networks est\u00e1n mejor protegidos contra el <em>spyware<\/em> de Android LANDFALL a trav\u00e9s de los siguientes productos:<\/p>\n<ul>\n<li>Los modelos de aprendizaje autom\u00e1tico y las t\u00e9cnicas de an\u00e1lisis de<a href=\"https:\/\/docs.paloaltonetworks.com\/wildfire\" target=\"_blank\" rel=\"noopener\"> Advanced WildFire<\/a> han sido revisados y actualizados a la luz de los indicadores compartidos en esta investigaci\u00f3n.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-url-filtering\/administration\" target=\"_blank\" rel=\"noopener\">Advanced URL Filtering<\/a> y<a href=\"https:\/\/docs.paloaltonetworks.com\/dns-security\" target=\"_blank\" rel=\"noopener\"> Advanced DNS Security<\/a> identifican dominios y URL conocidos asociados con esta actividad como maliciosos.<\/li>\n<li><a href=\"https:\/\/docs.paloaltonetworks.com\/advanced-threat-prevention\/administration\" target=\"_blank\" rel=\"noopener\">Advanced Threat Prevention<\/a> tiene una detecci\u00f3n incorporada basada en aprendizaje autom\u00e1tico que puede detectar <em>exploits<\/em> en tiempo real.<\/li>\n<\/ul>\n<p>Si cree que puede haber sido comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\" target=\"_blank\" rel=\"noopener\"> equipo de Respuesta a Incidentes de la Unit 42<\/a> o llame:<\/p>\n<ul>\n<li>Am\u00e9rica del Norte: L\u00ednea gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>Reino Unido: +44.20.3743.3660<\/li>\n<li>Europa y Medio Oriente: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 000 800 050 45107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos hallazgos con nuestros colegas miembros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para desplegar r\u00e1pidamente protecciones a sus clientes y para perturbar sistem\u00e1ticamente a los ciberactores maliciosos. Obtenga m\u00e1s informaci\u00f3n sobre la<a href=\"https:\/\/www.cyberthreatalliance.org\" target=\"_blank\" rel=\"noopener\"> Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-164723-_gydka5pjuh80\"><\/a>Indicadores de compromiso (IoC)<\/h2>\n<h3><a id=\"post-164723-_i1638j6jwvsi\"><\/a>Muestras de malware<\/h3>\n<p>A continuaci\u00f3n, en la Tabla 7, se muestra una lista de muestras de <em>malware<\/em> para la actividad LANDFALL.<\/p>\n<table>\n<thead>\n<tr>\n<th style=\"text-align: center; width: 65.6469%;\"><b>Hash SHA256<\/b><\/th>\n<th style=\"text-align: center; width: 22.642%;\"><b>Nombre de archivo<\/b><\/th>\n<th style=\"text-align: center; width: 10.7121%;\"><b>Tama\u00f1o<\/b><\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b06dec10e8ad0005ebb9da24204c96cb2e297bd8d418bc1c8983d066c0997756<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">img-20250120-wa0005.jpg<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">6.66 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">c0f30c2a2d6f95b57128e78dc0b7180e69315057e62809de1926b75f86516b2e<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2.tiff<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">6.58 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">9297888746158e38d320b05b27b0032b2cc29231be8990d87bc46f1e06456f93<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">whatsapp image 2025-02-10 at 4.54.17 pm.jpeg<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">6.66 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">d2fafc7100f33a11089e98b660a85bd479eab761b137cca83b1f6d19629dd3b0<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b.so<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">103.31 KB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">384f073d3d51e0f2e1586b6050af62de886ff448735d963dfc026580096d81bd<\/span><\/td>\n<td style=\"width: 22.642%;\"><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">103.31 KB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b975b499baa3119ac5c2b3379306d4e50b9610e9bba3e56de7dfd3927a96032d<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">1.jpeg<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">5.66 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">a62a2400bf93ed84ebadf22b441924f904d3fcda7d1507ba309a4b1801d44495<\/span><\/td>\n<td style=\"width: 22.642%;\"><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">103.31 KB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">29882a3c426273a7302e852aa77662e168b6d44dcebfca53757e29a9cdf02483<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">img-20240723-wa0001.jpg<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">6.58 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">2425f15eb542fca82892fd107ac19d63d4d112ddbfe698650f0c25acf6f8d78a<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">6357fc.zip<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">380.71 KB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">b45817ffb0355badcc89f2d7d48eecf00ebdf2b966ac986514f9d971f6c57d18<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">img-20240723-wa0000.jpg<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">5.65 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">69cf56ac6f3888efa7a1306977f431fd1edb369a5fd4591ce37b72b7e01955ee<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">localfile~<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">1.42 MB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">211311468f3673f005031d5f77d4d716e80cbf3c1f0bb1f148f2200920513261<\/span><\/td>\n<td style=\"width: 22.642%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">l<\/span><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">332.88 KB<\/span><\/td>\n<\/tr>\n<tr>\n<td style=\"width: 65.6469%;\"><span style=\"font-weight: 400; font-family: 'courier new', courier, monospace;\">ffeeb0356abb56c5084756a5ab0a39002832403bca5290bb6d794d14b642ffe2<\/span><\/td>\n<td style=\"width: 22.642%;\"><\/td>\n<td style=\"width: 10.7121%; text-align: center;\"><span style=\"font-weight: 400;\">103.31 KB<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 7. Muestras de malware para la actividad LANDFALL.<\/span><\/p>\n<h3><a id=\"post-164723-_t3y176pw7aq\"><\/a>Direcciones IP<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">45.155.250[.]158<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">46.246.28[.]75<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">91.132.92[.]35<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">92.243.65[.]240<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">192.36.57[.]56<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">194.76.224[.]127<\/span><\/li>\n<\/ul>\n<h3><a id=\"post-164723-_5jjabzp7ymwh\"><\/a>Nombres de dominio<\/h3>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">brightvideodesigns[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">healthyeatingontherun[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">hotelsitereview[.]com<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">projectmanagerskills[.]com<\/span><\/li>\n<\/ul>\n<h2><a id=\"post-164723-_62055kki8699\"><\/a>Recursos adicionales<\/h2>\n<ul>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-21042\" target=\"_blank\" rel=\"noopener\">NVD - CVE-2025-21042<\/a> \u2013 NIST<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-43300\" target=\"_blank\" rel=\"noopener\">NVD - CVE-2025-43300<\/a> \u2013 NIST<\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-55177\" target=\"_blank\" rel=\"noopener\">NVD - CVE-2025-55177<\/a> \u2013 NIST<\/li>\n<li><a href=\"https:\/\/security.samsungmobile.com\/securityUpdate.smsb\" target=\"_blank\" rel=\"noopener\">Samsung Mobile Security Updates<\/a> \u2013 Samsung<\/li>\n<li><a href=\"https:\/\/www.whatsapp.com\/security\/advisories\/2025?lang=en_US\" target=\"_blank\" rel=\"noopener\">WhatsApp Security Advisories 2025<\/a> \u2013 WhatsApp<\/li>\n<li><a href=\"https:\/\/research.checkpoint.com\/2025\/stealth-falcon-zero-day\/\" target=\"_blank\" rel=\"noopener\">Stealth Falcon's Exploit of Microsoft Zero Day Vulnerability<\/a> \u2013 Check Point Research<\/li>\n<li><a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/stealth-falcon-preying-middle-eastern-skies-deadglyph\/\" target=\"_blank\" rel=\"noopener\">Stealth Falcon preying over Middle Eastern skies with Deadglyph<\/a> \u2013 ESET<\/li>\n<li><a href=\"https:\/\/storage.googleapis.com\/gweb-uniblog-publish-prod\/documents\/Buying_Spying_-_Insights_into_Commercial_Surveillance_Vendors_-_TAG_report.pdf?#page=22\" target=\"_blank\" rel=\"noopener\">Buying Spying [PDF]<\/a> \u2013 Google TAG<\/li>\n<li><a href=\"https:\/\/blog.google\/threat-analysis-group\/new-details-on-commercial-spyware-vendor-variston\/\" target=\"_blank\" rel=\"noopener\">New details on commercial spyware vendor Variston<\/a> \u2013 Google TAG<\/li>\n<li><a href=\"https:\/\/www.usom.gov.tr\/adres\/946134\" target=\"_blank\" rel=\"noopener\">IP address entry for 91.132.92[.]35<\/a> \u2013 Turkish National CERT (USOM)<\/li>\n<li><a href=\"https:\/\/www.msuiche.com\/posts\/cve-2025-21043-when-dng-opcodes-become-attack-vectors\/\" target=\"_blank\" rel=\"noopener\">CVE-2025-21043 Analysis: When DNG Opcodes Become Attack Vectors<\/a> \u2013 Blog, Matt Suiche<\/li>\n<li><a href=\"https:\/\/github.com\/msuiche\/elegant-bouncer\" target=\"_blank\" rel=\"noopener\">ELEGANT BOUNCER Detection Framework<\/a> \u2013 Matt Suiche, GitHub<\/li>\n<\/ul>\n<h2><a id=\"post-164723-_bpxfmu5v43f3\"><\/a>Ap\u00e9ndices<\/h2>\n<h3><a id=\"post-164723-_yotsfjqfin4a\"><\/a>Ap\u00e9ndice A: Manipulaci\u00f3n de pol\u00edticas de SELinux<\/h3>\n<p>El componente de LANDFALL para la manipulaci\u00f3n de pol\u00edticas de SELinux es l.so. Este archivo proporciona la capacidad de eludir los controles de seguridad del sistema. Se descomprime de <span style=\"font-family: 'courier new', courier, monospace;\">\/data\/data\/com.samsung.ipservice\/files\/l<\/span> a <span style=\"font-family: 'courier new', courier, monospace;\">\/data\/data\/com.samsung.ipservice\/files\/l.so<\/span> y se ejecuta.<\/p>\n<p>En lugar de contener reglas codificadas, l.so implementa un motor gen\u00e9rico que puede analizar y cargar din\u00e1micamente nuevas declaraciones de pol\u00edtica SELinux desde una fuente externa, modificando la pol\u00edtica en ejecuci\u00f3n en la memoria.<\/p>\n<p>Funciones exportadas relevantes y \u00fanicas:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sepolicy_from_data:<\/span> Cargar pol\u00edtica desde datos binarios<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sepolicy_add_statement:<\/span> Agregar declaraciones de pol\u00edtica individuales<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sepolicy_to_buffer<\/span>: Serializar pol\u00edtica modificada<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">sepolicy_delete<\/span>: Limpiar objetos de pol\u00edtica<\/li>\n<\/ul>\n<h3><a id=\"post-164723-_ckkumvvlnqya\"><\/a>Ap\u00e9ndice B: Detalles adicionales sobre el an\u00e1lisis del spyware LANDFALL<\/h3>\n<p>Este ap\u00e9ndice detalla las capacidades observadas del componente cargador de LANDFALL, as\u00ed como aquellas que inferimos que existen en otros m\u00f3dulos del <em>framework<\/em> completo de LANDFALL a los que a\u00fan no hemos accedido.<\/p>\n<p>El <em>Bridge Head<\/em> de LANDFALL, nombrado en el disco como <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span>, es cargado por un <em>exploit<\/em> en el dispositivo. Inmediatamente despu\u00e9s de ser cargado post-exploit, LANDFALL analiza <span style=\"font-family: 'courier new', courier, monospace;\">LD_PRELOAD<\/span> del entorno para evitar heredar <em>preloads<\/em> ascendentes. Lee el ID de usuario efectivo a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">geteuid()<\/span> y lo almacena globalmente para que las bifurcaciones posteriores puedan ajustar el comportamiento para <em>root<\/em> versus no-<em>root<\/em>. Luego llama a la rutina principal.<\/p>\n<p>Recopila conceptos b\u00e1sicos del proceso (<span style=\"font-family: 'courier new', courier, monospace;\">pid<\/span> padre, <span style=\"font-family: 'courier new', courier, monospace;\">euid<\/span>, cadena de compilaci\u00f3n de Android), lee un indicador (<em>flag<\/em>) de ejecutor de la variable de entorno <span style=\"font-family: 'courier new', courier, monospace;\">R<\/span> y toma una copia de \u00e9l para acciones posteriores. Este valor (t\u00edpicamente I para interactivo o P para pasivo) se informar\u00e1 al comando y control y determinar\u00e1 c\u00f3mo lanza un <em>payload<\/em> en etapas posteriores. Resuelve su propia ruta mapeada, selecciona la base privada de la aplicaci\u00f3n en <span style=\"font-family: 'courier new', courier, monospace;\">\/data\/data\/com.samsung.ipservice\/files\/<\/span> como su directorio de trabajo y luego construye dos rutas secundarias all\u00ed. Una ruta es para la descarga por etapas y otra es para el <span style=\"font-family: 'courier new', courier, monospace;\">l.so<\/span> final utilizado para la ejecuci\u00f3n.<\/p>\n<h4><a id=\"post-164723-_ag6p8y1znd5j\"><\/a>Configuraci\u00f3n<\/h4>\n<p>LANDFALL lee y descifra con XOR una configuraci\u00f3n JSON directamente desde su propio archivo. El <em>spyware<\/em> normaliza la configuraci\u00f3n escribiendo valores predeterminados internos de nuevo en el objeto analizado: los campos num\u00e9ricos se establecen de forma predeterminada cuando faltan o son cero, y ciertos booleanos se fuerzan a valores fijos independientemente de la configuraci\u00f3n suministrada. Finalmente, comprueba que una clave p\u00fablica (X.509 DER) est\u00e9 presente en la configuraci\u00f3n y sale si no es as\u00ed.<\/p>\n<p><span style=\"font-weight: 400;\">La Tabla 9 resume la normalizaci\u00f3n de configuraci\u00f3n realizada en esta etapa.<\/span><\/p>\n<table style=\"width: 99.4731%; height: 499px;\">\n<tbody>\n<tr style=\"height: 24px;\">\n<td style=\"width: 26.6078%; height: 24px;\"><b>Nombre de clave<\/b><\/td>\n<td style=\"width: 25.1757%; height: 24px;\"><b style=\"font-family: inherit; font-size: inherit;\">Tipo de valor<\/b><\/td>\n<td style=\"width: 39.0109%; height: 24px;\"><b>Predeterminado<\/b><\/td>\n<td style=\"width: 89.9233%; height: 24px;\"><strong><b>Requerido<\/b><\/strong><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">allow_wifi<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">booleano<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Forzado a <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><span style=\"font-weight: 400;\"> (sobrescribe <\/span><i><span style=\"font-weight: 400;\">false<\/span><\/i><span style=\"font-weight: 400;\">\/faltante a <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><span style=\"font-weight: 400;\">)<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">allow_mobile<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">booleano<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Forzado a <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><span style=\"font-weight: 400;\"> (sobrescribe <\/span><i><span style=\"font-weight: 400;\">false<\/span><\/i><span style=\"font-weight: 400;\">\/faltante a <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><span style=\"font-weight: 400;\">))<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">allow_roaming<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">booleano<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Predeterminado <\/span><i><span style=\"font-weight: 400;\">false<\/span><\/i><span style=\"font-weight: 400;\"> si falta\/<\/span><i><span style=\"font-weight: 400;\">false<\/span><\/i><span style=\"font-weight: 400;\">; <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><span style=\"font-weight: 400;\"> permanece <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">allow_min_battery<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">0 si el valor es 0 o falta<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">sleep_time<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer (seconds)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">60 si el valor es 0 o falta<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">sleep_time_between_retries<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer (seconds)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">35 si el valor es 0 o falta<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">suicide_time<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer (seconds)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">7200 si el valor es 0 o falta<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">live_mode_expiration<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer (seconds)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">0 si el valor es 0 o falta<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">socket_timeout<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer (seconds)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">5 si el valor es 0 o falta<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">is_persistent<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">booleano<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Predeterminado <\/span><i><span style=\"font-weight: 400;\">false<\/span><\/i><span style=\"font-weight: 400;\"> si falta\/<\/span><i><span style=\"font-weight: 400;\">false<\/span><\/i><span style=\"font-weight: 400;\">; <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><span style=\"font-weight: 400;\"> permanece <\/span><i><span style=\"font-weight: 400;\">true<\/span><\/i><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">bridge_head_version_major<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Establecido en 2 (siempre)<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">bridge_head_version_minor<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Establecido en 1 (siempre)<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\">No<\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">cnc_hostname<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">string<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Ninguno; debe estar presente<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">cnc_port<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">integer<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Ninguno; debe ser distinto de cero<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">cnc_base_url<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">string<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Ninguno; debe estar presente<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">agent_id<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">string (UUID)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Ninguno; debe estar presente<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">command_id<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">string (UUID)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Ninguno; debe estar presente<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">commands<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\">array<\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Debe existir; le\u00eddo y liberado (estructura no retenida aqu\u00ed)<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<tr style=\"height: 25px;\">\n<td style=\"width: 26.6078%; height: 25px;\"><span style=\"font-family: 'courier new', courier, monospace;\">public_key<\/span><\/td>\n<td style=\"width: 25.1757%; height: 25px;\"><span style=\"font-weight: 400;\">X.509 DER (bytes)<\/span><\/td>\n<td style=\"width: 39.0109%; height: 25px;\"><span style=\"font-weight: 400;\">Ninguno; debe estar presente y ser v\u00e1lido<\/span><\/td>\n<td style=\"width: 89.9233%; height: 25px;\"><span style=\"font-weight: 400;\">S\u00ed<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 9. Claves y valores para el malware LANDFALL.<\/span><\/p>\n<h4><a id=\"post-164723-_6gdcjvmxq5xb\"><\/a>Comunicaci\u00f3n con el servidor C2<\/h4>\n<p>Una vez completada la configuraci\u00f3n, <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> carga las funciones de red y cifrado necesarias, configura su entorno SSL y prepara un contexto de cliente seguro para futuras comunicaciones HTTPS. Si alguna parte de esta configuraci\u00f3n falla, sale limpiamente en lugar de arriesgarse a una configuraci\u00f3n parcial.<\/p>\n<p>Antes de entrar en el bucle de baliza (<em>beaconing<\/em>) C2, opcionalmente emite telemetr\u00eda. Si se est\u00e1 ejecutando como <em>root<\/em>, formatea una l\u00ednea concisa de \"iniciado\" que incluye:<\/p>\n<ul>\n<li>Un marcador de versi\u00f3n fijo (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">v1.5.0<\/span>)<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pid<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">euid<\/span><\/li>\n<li>Modo de ejecutor<\/li>\n<\/ul>\n<p>Luego env\u00eda eso a trav\u00e9s de una solicitud POST al servidor C2, como se muestra a continuaci\u00f3n.<\/p>\n<p><img  class=\"alignnone wp-image-164480 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-1.png\" alt=\"Solicitud POST al servidor C2\" width=\"800\" height=\"115\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-1.png 1826w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-1-786x113.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-1-768x110.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-1-1536x220.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><\/p>\n<p>Si el modo de ejecutor es I, prepara primero el ayudante de SELinux: localiza el ayudante de pol\u00edtica comprimido (<span style=\"font-family: 'courier new', courier, monospace;\">\/data\/data\/com.samsung.ipservice\/files\/l<\/span>), lo infla a trav\u00e9s de un decodificador XZ interno en un b\u00fafer nuevo y escribe el resultado en <span style=\"font-family: 'courier new', courier, monospace;\">data\/data\/com.samsung.ipservice\/files\/l.so<\/span>. Luego hace baliza al servidor C2 enviando un <em>ping<\/em> usando el <span style=\"font-family: 'courier new', courier, monospace;\">agent_id<\/span> sin guiones como <em>payload<\/em>. El resultado no condiciona el resto del flujo y sirve como telemetr\u00eda del operador.<\/p>\n<p>Un ejemplo de c\u00f3digo para un <span style=\"font-family: 'courier new', courier, monospace;\"><em>ping<\/em><\/span> en modo I es el siguiente.<\/p>\n<p><img  class=\"alignnone wp-image-164469 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image4.png\" alt=\"Ejemplo de c\u00f3digo para I-ping al servidor host.\" width=\"800\" height=\"198\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image4.png 1852w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image4-786x194.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image4-768x190.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image4-1536x380.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><\/p>\n<p>Solo entonces comienza el bucle principal de baliza C2. Registra el tiempo cero y aplica un presupuesto estricto de tiempo de reloj de pared de aproximadamente 7200 segundos (<span style=\"font-family: 'courier new', courier, monospace;\">suicide_time<\/span>) para toda la sesi\u00f3n.<\/p>\n<p>Pone a cero dos b\u00faferes de ruta grandes y reutilizables: uno para el <em>blob<\/em> sin procesar que puede llegar del servidor y otro hermano para el objeto compartido descomprimido. Ambas rutas viven bajo el directorio de trabajo privado de la aplicaci\u00f3n (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">\/data\/data\/com.samsung.ipservice\/files\/<\/span>). Con las rutas listas, contacta al servidor de comando y control construyendo un cuerpo compacto estilo codificado en URL de pares <span style=\"font-family: 'courier new', courier, monospace;\">key=value<\/span>:<\/p>\n<ul>\n<li>Una etiqueta de protocolo\/variante; el tipo de mensaje de baliza<\/li>\n<li>El <span style=\"font-family: 'courier new', courier, monospace;\">agent_id, command_id<\/span> y un <span style=\"font-family: 'courier new', courier, monospace;\">upload_id<\/span> nuevo (UUIDv4) para correlaci\u00f3n<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">source=bridge_head<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Euid<\/span><\/li>\n<li>El indicador de ejecutor y su ruta de instalaci\u00f3n en disco<\/li>\n<\/ul>\n<p>Cuando corresponde, calcula un SHA-1 sobre parte del mensaje y lo adjunta. Utiliza la siguiente cadena de Agente de Usuario (User-Agent) de Chrome:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_10_3) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/44.0.2403.89 Safari\/537.36.<\/span><\/li>\n<\/ul>\n<p>Las solicitudes se dirigen a la ruta base configurada (p. ej., <span style=\"font-family: 'courier new', courier, monospace;\">POST \/is\/ HTTP\/1.0<\/span>). Antes de enviar cualquier dato de aplicaci\u00f3n, fija (<em>pins<\/em>) la conexi\u00f3n TLS.<\/p>\n<p>Mientras lee la respuesta del servidor C2, LANDFALL comprueba el c\u00f3digo de estado de la respuesta y mira a trav\u00e9s de las cabeceras para determinar la longitud y el tipo del mensaje. Algunos c\u00f3digos de estado, particularmente tiempos de espera y un conjunto enmascarado de <span style=\"font-family: 'courier new', courier, monospace;\">4xx\/5xx<\/span> (p. <span style=\"font-family: 'courier new', courier, monospace;\">ej., 408, 504<\/span>), se tratan como transitorios y desencadenan sleep(<span style=\"font-family: 'courier new', courier, monospace;\">sleep_time_between_retries<\/span>) (predeterminado 35 segundos) antes de reintentar con una conexi\u00f3n nueva. Una respuesta de no encontrado (p. ej., 404) se considera terminal para esta ejecuci\u00f3n y sale del bucle. Si el estado indica \u00e9xito y hay un cuerpo presente, LANDFALL procede a la preparaci\u00f3n (<em>staging<\/em>).<\/p>\n<h4><a id=\"post-164723-_fo1tk6p2zy8u\"><\/a>Payloads de siguiente etapa<\/h4>\n<p>La preparaci\u00f3n comienza limpiando el estado del sistema de archivos. Si existe un <em>blob<\/em> sin procesar antiguo en la ruta temporal, lo elimina. Escribe los bytes sin procesar en un archivo de preparaci\u00f3n llamado <span style=\"font-family: 'courier new', courier, monospace;\">aa.so<\/span> bajo el directorio de trabajo y luego intenta descomprimirlos usando un decodificador XZ\/LZMA incorporado que se infla en un b\u00fafer preasignado de aproximadamente 5 MiB.<\/p>\n<p>Si tiene \u00e9xito, escribe los bytes descomprimidos en <span style=\"font-family: 'courier new', courier, monospace;\">dec_a.so<\/span> (la ruta final .so) bajo el directorio de trabajo, borra el aa.so temporal y establece el modo de archivo en <span style=\"font-family: 'courier new', courier, monospace;\">dec_a.so<\/span> a <span style=\"font-family: 'courier new', courier, monospace;\">777<\/span> para asegurar que sea cargable en varios contextos.<\/p>\n<p>Ejemplo de inflador XZ (recortado):<\/p>\n<p><img  class=\"alignnone wp-image-164447 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image6.png\" alt=\"Inflador que se infla a un tama\u00f1o predeterminado.\" width=\"700\" height=\"233\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image6.png 1842w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image6-786x262.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image6-768x256.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image6-1536x512.png 1536w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><\/p>\n<p>Con el objeto compartido en su lugar (dec_a.so), elige una estrategia de ejecuci\u00f3n basada en el indicador de ejecutor. Para configuraciones interactivas (I), exporta dos variables de entorno y lanza una herramienta de sistema benigna de forma sincr\u00f3nica:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">LD_PRELOAD=&lt;final.so&gt; PRELOAD_PATH=\/data\/data\/com.samsung.ipservice\/files\/l.so \/system\/bin\/id (donde &lt;final.so&gt; es dec_a.so).<\/span><\/li>\n<\/ul>\n<p>El <span style=\"font-family: 'courier new', courier, monospace;\">PRELOAD_PATH<\/span> apunta a la ruta del dispositivo donde se espera el contenido de la pol\u00edtica SELinux, permitiendo que el c\u00f3digo precargado encuentre y aplique la pol\u00edtica al inicio. Tenga en cuenta que este <span style=\"font-family: 'courier new', courier, monospace;\">PRELOAD_PATH<\/span> solo se usa en modo interactivo, la ruta de ejecuci\u00f3n pasiva lo omite.<\/p>\n<p>Para ejecuciones pasivas (P), lanza la misma herramienta en segundo plano:<\/p>\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">LD_PRELOAD=&lt;final.so&gt; \/system\/bin\/id (con &lt;final.so&gt; es dec_a.so)<\/span><\/li>\n<\/ul>\n<p>Esto se hace para que el control regrese r\u00e1pidamente mientras el ayudante se inicializa en otro proceso. Internamente, ambos se despachan a trav\u00e9s de un <em>wrapper<\/em> de <em>shell<\/em> (<span style=\"font-family: 'courier new', courier, monospace;\">\/system\/bin\/sh -c &lt;cmd&gt;<\/span>). En ambos casos, acepta solo resultados de \u00e9xito estrechos:<\/p>\n<ul>\n<li>c\u00f3digo de salida 0 o un <span style=\"font-family: 'courier new', courier, monospace;\">0x15<\/span> espec\u00edfico; cualquier otra cosa se trata como falla y rompe el bucle<\/li>\n<\/ul>\n<p>Tras una carga exitosa, formatea y env\u00eda una l\u00ednea de \"finalizado\" que refleja el mensaje de apertura, incluyendo:<\/p>\n<ul>\n<li>Marcador de versi\u00f3n<\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">pid<\/span><\/li>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">incremental_build<\/span><\/li>\n<li>ejecutor<\/li>\n<\/ul>\n<p><img  class=\"alignnone wp-image-164458 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9.png\" alt=\"Fragmento de c\u00f3digo\" width=\"700\" height=\"100\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9.png 1826w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-786x113.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-768x110.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/image9-1536x220.png 1536w\" sizes=\"(max-width: 700px) 100vw, 700px\" \/><\/p>\n<p>Luego libera cadenas y b\u00faferes transitorios. Si no hab\u00eda <em>payload<\/em> disponible, o si ocurri\u00f3 un error transitorio, comprueba el tiempo de reloj de pared transcurrido contra su presupuesto de aproximadamente 7200 segundos. Si queda tiempo, duerme (<em>sleep<\/em>) el intervalo configurado e intenta de nuevo.<\/p>\n<p>Finalmente, cuando el bucle termina, ya sea despu\u00e9s de una carga exitosa de la siguiente etapa o debido al presupuesto de tiempo o errores irrecuperables, se desenrolla limpiamente. Si se est\u00e1 ejecutando como <em>root<\/em>, prefiere una ruta <span style=\"font-family: 'courier new', courier, monospace;\">directa _exit(status)<\/span> en lugar de un retorno normal para minimizar los efectos secundarios en el tiempo de ejecuci\u00f3n. En todos los casos, su objetivo es dejar atr\u00e1s solo los artefactos m\u00ednimos necesarios para que el c\u00f3digo preparado contin\u00fae.<\/p>\n<h4><a id=\"post-164723-_xfwdg9pl60mf\"><\/a>Capacidades no referenciadas<\/h4>\n<p>Durante la ingenier\u00eda inversa, identificamos m\u00faltiples rutinas compiladas en el componente <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span> que no son invocadas por su flujo de control observado. Estas caracter\u00edsticas latentes parecen dise\u00f1adas para ser utilizadas por los m\u00f3dulos siguientes cargados.<\/p>\n<p>Tambi\u00e9n es muy probable que algunas de estas funciones sean restos de versiones anteriores de LANDFALL. Revelan comportamientos concretos orientados en torno a las rutas de medios de WhatsApp, descubrimiento de DCIM, preparaci\u00f3n del sistema de archivos e higiene de procesos en Android:<\/p>\n<ul>\n<li>Una rutina prepara una l\u00ednea de telemetr\u00eda \"iniciado\" y luego interact\u00faa con el subsistema de medios del dispositivo. Formatea la l\u00ednea:\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">BH v1.5.0 started - pid: , euid=, incremental_build: v1.5.0, runner:<\/span><\/li>\n<\/ul>\n<\/li>\n<li>Si sus comprobaciones internas pasan, ejecuta una transmisi\u00f3n (<em>broadcast<\/em>) para forzar un reescaneo de la galer\u00eda usando el <em>shell<\/em> exacto:\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">am broadcast -a android.intent.action.MEDIA_SCANNER_SCAN_FILE -d file:\/\/\/sdcard\/DCIM\/hacked.jpg<\/span><\/li>\n<\/ul>\n<\/li>\n<li>En el mismo flujo, tambi\u00e9n construye una sonda de \"foto m\u00e1s reciente\" sobre DCIM usando:\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">find \/sdcard\/DCIM -type f -exec ls -t1 {} + | grep -v hacked| head -1<\/span><\/li>\n<li>Este patr\u00f3n es consistente con la recolecci\u00f3n del \u00faltimo elemento de la c\u00e1mara mientras excluye un artefacto que puede plantar. Esta rutina est\u00e1 compilada pero no es llamada por ning\u00fan otro c\u00f3digo en la muestra.<\/li>\n<\/ul>\n<\/li>\n<li>Plantador de ruta de medios de WhatsApp. Otra rutina decodifica un PNG 1x1 codificado en Base64 (<span style=\"font-family: 'courier new', courier, monospace;\">iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJ\u2026JRU5ErkJggg==<\/span>) y busca en los directorios de medios de WhatsApp en el almacenamiento externo una ruta de archivo reciente que coincida con el identificador del agente (al UUID primero se le quitan los guiones). Construye y ejecuta una tuber\u00eda (<em>pipeline<\/em>) de b\u00fasqueda a trav\u00e9s de las rutas predeterminadas (ID 0) y multiusuario (ID 95):\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">find \/storage\/emulated\/0\/Android\/media\/com.whatsapp\/WhatsApp\/Media\/WhatsApp\\ Images\/ \/storage\/emulated\/95\/Android\/media\/com.whatsapp\/WhatsApp\/Media\/WhatsApp\\ Images\/ -type f -atime -720m -maxdepth 1 -exec grep -lo '.*&lt;agentIdNoHyphens&gt;.*' {} \\; -quit 2&gt;\/dev\/null.<\/span><\/li>\n<li>Si se devuelve dicha ruta, escribe el PNG decodificado all\u00ed textualmente. Esto parece ser un artefacto de cobertura o una etapa de marcador encubierto dirigida espec\u00edficamente a las im\u00e1genes de WhatsApp.<\/li>\n<\/ul>\n<\/li>\n<li>Otro ayudante toma un directorio base y una cadena y devuelve una ruta JPEG coincidente ejecutando:\n<ul>\n<li><span style=\"font-family: 'courier new', courier, monospace;\">find &lt;base&gt; -name '*.jpg' -exec grep -le '.*&lt;pattern&gt;.*' {} \\;<\/span><\/li>\n<li>Recorta las nuevas l\u00edneas finales y verifica que la ruta exista antes de devolverla.<\/li>\n<\/ul>\n<\/li>\n<li>Comprobaci\u00f3n de evasi\u00f3n de Zygote: Un ayudante de higiene de procesos asigna un b\u00fafer para su propia l\u00ednea de comandos (<em>cmdline<\/em>) y devuelve \u00e9xito solo cuando el nombre no coincide con <span style=\"font-family: 'courier new', courier, monospace;\">zygote<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">zygote64<\/span>. Est\u00e1 dise\u00f1ado para evitar los procesos anfitriones especiales de Android.<\/li>\n<li>Resolvedor de s\u00edmbolos SELinux y limpieza: Dos peque\u00f1as rutinas manejan la plomer\u00eda (<em>plumbing<\/em>) din\u00e1mica de SELinux.\n<ul>\n<li>Una hace dlopen a<span style=\"font-family: 'courier new', courier, monospace;\"> \/system\/lib64\/libselinux.so<\/span> y resuelve <span style=\"font-family: 'courier new', courier, monospace;\">getfilecon<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">setfilecon<\/span> en punteros de funci\u00f3n globales.<\/li>\n<li>La otra desmonta esto y borra los punteros.<\/li>\n<li>Ambas existen para admitir el trabajo de pol\u00edtica\/contexto de archivo pero no son referenciadas por la ruta de c\u00f3digo observada.<\/li>\n<\/ul>\n<\/li>\n<li>Una rutina m\u00e1s sustancial acepta una lista de rutas del sistema de archivos. Para cada una, guarda la etiqueta actual a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">getfilecon,<\/span> invoca un etiquetador interno en la ruta, aplica la propiedad a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">chown<\/span> y luego restaura la etiqueta guardada con <span style=\"font-family: 'courier new', courier, monospace;\">setfilecon<\/span>. Devuelve c\u00f3digos negativos distintos cuando <span style=\"font-family: 'courier new', courier, monospace;\">chown<\/span> o <span style=\"font-family: 'courier new', courier, monospace;\">setfilecon<\/span> fallan.<\/li>\n<li>Hay una sonda de archivo que intenta abrir una ruta y mapea el resultado a c\u00f3digos de estado internos (\u00e9xito, permiso denegado, no encontrado, error gen\u00e9rico). Tambi\u00e9n restablece el estado interno de la biblioteca (incluyendo cualquier manejador SELinux previamente abierto).<\/li>\n<li>Mapear resultado de ejecuci\u00f3n de proceso a estado de mensaje: Un peque\u00f1o mapeador convierte el resultado de un ayudante interno de ejecuci\u00f3n de comandos en c\u00f3digos de cat\u00e1logo de mensajes (p. ej., mapeando un retorno espec\u00edfico (1) al c\u00f3digo<span style=\"font-family: 'courier new', courier, monospace;\"> CMD_STAT_*<\/span> <span style=\"font-family: 'courier new', courier, monospace;\">0x0C<\/span> y 2\u20133 a <span style=\"font-family: 'courier new', courier, monospace;\">0x51<\/span>). Estandariza los informes para los ayudantes, pero no es alcanzado por la l\u00f3gica actual.<\/li>\n<li>Construir un <em>array<\/em> JSON de informe de dispositivo: Otra rutina inactiva construye un <em>array<\/em> cJSON donde cada entrada lleva device_path, un campo binario codificado en Base64, un booleano last_updated y un estado textual derivado de la tabla interna <span style=\"font-family: 'courier new', courier, monospace;\">CMD_STAT_*.<\/span> Recorre un vector de entrada, lee el archivo referenciado en la memoria, lo codifica en Base64 y lo adjunta al <em>array<\/em>.<\/li>\n<li>Un peque\u00f1o ayudante de plantillas de cadenas encuentra ocurrencias del <em>token<\/em><span style=\"font-family: 'courier new', courier, monospace;\"> --working_dir--<\/span> dentro de un valor JSON y las reemplaza con la ruta de tiempo de ejecuci\u00f3n rastreada por <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span>.<\/li>\n<li>Adjuntar <span style=\"font-family: 'courier new', courier, monospace;\">TracerPid<\/span> a la telemetr\u00eda: Un ayudante de diagn\u00f3stico analiza <span style=\"font-family: 'courier new', courier, monospace;\">\/proc\/self\/status<\/span>, extrae la l\u00ednea TracerPid, la convierte a un entero y, si es mayor que cero, adjunta una clave\/valor formateado en el cuerpo de la solicitud a trav\u00e9s del constructor de cadenas de b.so.<\/li>\n<li>Un ayudante de preparaci\u00f3n concatena un b\u00fafer existente con un bloque pseudoaleatorio derivado de una cadena de entrada:\n<ul>\n<li>Siembra un byte con <span style=\"font-family: 'courier new', courier, monospace;\">rand()<\/span><\/li>\n<li>Hace XOR a cada byte subsiguiente de la entrada en un acumulador rodante<\/li>\n<li>Escribe los bytes del acumulador como sufijo<\/li>\n<li>Luego escribe el b\u00fafer combinado en una ruta de archivo dada a trav\u00e9s del escritor de <span style=\"font-family: 'courier new', courier, monospace;\">b.so<\/span><\/li>\n<\/ul>\n<\/li>\n<li>Un par de instalador\/desinstalador de dos pasos utiliza tres claves de configuraci\u00f3n: <span style=\"font-family: 'courier new', courier, monospace;\">persistency_origin, persistency_payload<\/span> y <span style=\"font-family: 'courier new', courier, monospace;\">persistency_backup<\/span>. La rutina principal comprueba que las tres est\u00e9n configuradas, copia la copia de seguridad de nuevo al origen si es necesario y luego elimina el archivo de <em>payload<\/em>. Devuelve c\u00f3digos de estado distintos (<span style=\"font-family: 'courier new', courier, monospace;\">0x4B\/0x4C\/0x4D<\/span>) que se mapean a las entradas del cat\u00e1logo de mensajes para \"sin configuraci\u00f3n\", \"movimiento fallido\" y \"desvinculaci\u00f3n fallida\". Una rutina hermana crea o trunca condicionalmente el archivo de copia de seguridad (<span style=\"font-family: 'courier new', courier, monospace;\">fopen<\/span> con modo \"<span style=\"font-family: 'courier new', courier, monospace;\">w<\/span>\") cuando se establece un indicador global de persistencia.<\/li>\n<li>Porcentaje de bater\u00eda a trav\u00e9s de <span style=\"font-family: 'courier new', courier, monospace;\">sysfs:<\/span> Una utilidad lee la capacidad de la bater\u00eda desde el sysfs de suministro de energ\u00eda del sistema, comprobando dos ubicaciones comunes: <span style=\"font-family: 'courier new', courier, monospace;\">\/sys\/class\/power_supply\/battery\/capacity <span style=\"font-family: georgia, palatino, serif;\">y<\/span> \/sys\/class\/power_supply\/Battery\/capacity.<\/span><\/li>\n<li>Dos rutinas configuran y finalizan el directorio de trabajo bajo el almacenamiento privado de la aplicaci\u00f3n.\n<ul>\n<li>La primera crea el \u00e1rbol de directorios, aplica el modo <span style=\"font-family: 'courier new', courier, monospace;\">0771<\/span> (<span style=\"font-family: 'courier new', courier, monospace;\">0x1F9<\/span>), agrega temporalmente ejecuci\u00f3n al padre y copia la ruta resuelta en la configuraci\u00f3n. Y, cuando se ejecuta como <em>root<\/em>, intenta montar un <span style=\"font-family: 'courier new', courier, monospace;\">tmpfs<\/span> en esa ubicaci\u00f3n para mantener los artefactos en memoria.<\/li>\n<li>La segunda (limpieza\/finalizaci\u00f3n) puede, cuando es <span style=\"font-family: 'courier new', courier, monospace;\"><em>root<\/em><\/span> y el directorio existe, ejecutar <span style=\"font-family: 'courier new', courier, monospace;\">lsof | grep &lt;working_dir&gt;<\/span> y enviar el resultado a casa. Luego restaura el modo original del directorio padre y libera el b\u00fafer de ruta.<\/li>\n<\/ul>\n<\/li>\n<li>Descubrimiento de procesos por contexto SELinux y por l\u00ednea de comandos: Dos ayudantes de b\u00fasqueda iteran <span style=\"font-family: 'courier new', courier, monospace;\">\/proc,<\/span> construyendo y leyendo archivos por PID.\n<ul>\n<li>Uno compara <span style=\"font-family: 'courier new', courier, monospace;\">\/proc\/%d\/attr\/current<\/span> contra un contexto SELinux objetivo y luego confirma que el proceso tiene PPID 1.<\/li>\n<li>El otro compara <span style=\"font-family: 'courier new', courier, monospace;\">\/proc\/%d\/cmdline<\/span> contra una l\u00ednea de comandos objetivo.<\/li>\n<li>Si hay coincidencia, escriben el PID en un par\u00e1metro de salida y devuelven \u00e9xito.<\/li>\n<\/ul>\n<\/li>\n<li>Impresi\u00f3n de depuraci\u00f3n de un <em>array<\/em> variante: Una rutina orientada al desarrollador imprime una peque\u00f1a estructura de <em>array<\/em> tipado. Formatea nombres de tipo desde una tabla, vuelca peque\u00f1os <em>arrays<\/em> de bytes dentro de corchetes y emite un solo car\u00e1cter para un tipo espec\u00edfico, un elemento por l\u00ednea. Esto parece ser depuraci\u00f3n sobrante y no es invocado por el c\u00f3digo activo.<\/li>\n<\/ul>\n<p>Ninguno de estos ayudantes es ejecutado por el bucle de ejecuci\u00f3n principal de este componente. Su presencia es consistente con una arquitectura por etapas en la que los objetos compartidos cargados posteriormente, que forman el <em>framework<\/em> LANDFALL completo, expanden la recopilaci\u00f3n y la persistencia utilizando capacidades ya compiladas en este cargador.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>El spyware LANDFALL de grado comercial explota la vulnerabilidad CVE-2025-21042 en la biblioteca de procesamiento de im\u00e1genes de Samsung Android. El spyware estaba incrustado en archivos DNG maliciosos.<\/p>\n","protected":false},"author":23,"featured_media":164376,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8838,8856],"tags":[9767,9769,9771,9772,9773,9774,9768,9770],"product_categories":[8922,8923,8925,8921,8890],"coauthors":[1025],"class_list":["post-164723","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es-la","category-vulnerabilities-es-la","tag-android-es-la","tag-apple-es-la","tag-cve-2025-21042-es-la","tag-cve-2025-21043-es-la","tag-cve-2025-43300-es-la","tag-cve-2025-55177-es-la","tag-samsung-es-la","tag-spyware-es-la","product_categories-advanced-dns-security-es-la","product_categories-advanced-threat-prevention-es-la","product_categories-advanced-wildfire-es-la","product_categories-cloud-delivered-security-services-es-la","product_categories-unit-42-incident-response-es-la"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung<\/title>\n<meta name=\"description\" content=\"El spyware LANDFALL de grado comercial explota la vulnerabilidad CVE-2025-21042 en la biblioteca de procesamiento de im\u00e1genes de Samsung Android. El spyware estaba incrustado en archivos DNG maliciosos.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/\" \/>\n<meta property=\"og:locale\" content=\"es_LA\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung\" \/>\n<meta property=\"og:description\" content=\"El spyware LANDFALL de grado comercial explota la vulnerabilidad CVE-2025-21042 en la biblioteca de procesamiento de im\u00e1genes de Samsung Android. El spyware estaba incrustado en archivos DNG maliciosos.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-11-07T11:00:18+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/09_Nation-State-cyberattacks_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Unit 42\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung","description":"El spyware LANDFALL de grado comercial explota la vulnerabilidad CVE-2025-21042 en la biblioteca de procesamiento de im\u00e1genes de Samsung Android. El spyware estaba incrustado en archivos DNG maliciosos.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/","og_locale":"es_LA","og_type":"article","og_title":"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung","og_description":"El spyware LANDFALL de grado comercial explota la vulnerabilidad CVE-2025-21042 en la biblioteca de procesamiento de im\u00e1genes de Samsung Android. El spyware estaba incrustado en archivos DNG maliciosos.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/","og_site_name":"Unit 42","article_published_time":"2025-11-07T11:00:18+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/09_Nation-State-cyberattacks_1920x900.jpg","type":"image\/jpeg"}],"author":"Unit 42","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/"},"author":{"name":"Unit 42","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"headline":"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung","datePublished":"2025-11-07T11:00:18+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/"},"wordCount":7914,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/09_Nation-State-cyberattacks_1920x900.jpg","keywords":["Android","Apple","CVE-2025-21042","CVE-2025-21043","CVE-2025-43300","CVE-2025-55177","Samsung","spyware"],"articleSection":["Investigaci\u00f3n de amenazas","Vulnerabilidades"],"inLanguage":"es"},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/","url":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/","name":"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/09_Nation-State-cyberattacks_1920x900.jpg","datePublished":"2025-11-07T11:00:18+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63"},"description":"El spyware LANDFALL de grado comercial explota la vulnerabilidad CVE-2025-21042 en la biblioteca de procesamiento de im\u00e1genes de Samsung Android. El spyware estaba incrustado en archivos DNG maliciosos.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/09_Nation-State-cyberattacks_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/09_Nation-State-cyberattacks_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of LANDFALL spyware. An illustration of a glowing red warning icon centered on a detailed blue circuit board background, representing a vulnerability in Samsung Galaxy devices."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es-la\/landfall-is-new-commercial-grade-android-spyware\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"LANDFALL: Nuevo spyware de grado comercial para Android en una cadena de exploits dirigida a dispositivos Samsung"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/a891f81d18648a1e0bab742238d31a63","name":"Unit 42","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/5b5a1c33b73a577ebaf42f25081b0ebd","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Insights_headshot-placeholder-300x300.jpg","caption":"Unit 42"},"url":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/author\/unit42\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/164723","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/users\/23"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/comments?post=164723"}],"version-history":[{"count":4,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/164723\/revisions"}],"predecessor-version":[{"id":164817,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/posts\/164723\/revisions\/164817"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media\/164376"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/media?parent=164723"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/categories?post=164723"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/tags?post=164723"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/product_categories?post=164723"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es-la\/wp-json\/wp\/v2\/coauthors?post=164723"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}