#unit42 — Public Fediverse posts

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

Unit 42 researchers identified six new remote access Trojan variants deployed by Iran-nexus APT group Screening Serpens between February and April 2026, coinciding with a regional conflict starting February 28, 2026. The group targeted entities in the U.S., Israel, UAE, and other Middle Eastern locations, primarily focusing on technology sector professionals through highly tailored social engineering using personalized recruitment lures. Two new malware families, MiniUpdate and MiniJunk V2, were discovered featuring advanced techniques including AppDomainManager hijacking that manipulates .NET application initialization to disable security mechanisms. The campaigns demonstrated increased technical capabilities and operational resilience, with each variant using dedicated C2 infrastructure hosted on Azure. The attacks leveraged DLL sideloading, scheduled tasks for persistence, and sophisticated evasion techniques to maintain long-term access for espionage purposes.

Pulse ID: 6a109360ffcb2c8229a150c7
Pulse Link: https://otx.alienvault.com/pulse/6a109360ffcb2c8229a150c7
Pulse Author: AlienVault
Created: 2026-05-22 17:33:20

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Azure #CyberSecurity #Espionage #InfoSec #Iran #Israel #Malware #MiddleEast #NET #OTX #OpenThreatExchange #RAT #RemoteAccessTrojan #SMS #SideLoading #SocialEngineering #Trojan #UAE #Unit42 #bot #AlienVault

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

Unit 42 researchers identified six new remote access Trojan variants deployed by Iran-nexus APT group Screening Serpens between February and April 2026, coinciding with a regional conflict starting February 28, 2026. The group targeted entities in the U.S., Israel, UAE, and other Middle Eastern locations, primarily focusing on technology sector professionals through highly tailored social engineering using personalized recruitment lures. Two new malware families, MiniUpdate and MiniJunk V2, were discovered featuring advanced techniques including AppDomainManager hijacking that manipulates .NET application initialization to disable security mechanisms. The campaigns demonstrated increased technical capabilities and operational resilience, with each variant using dedicated C2 infrastructure hosted on Azure. The attacks leveraged DLL sideloading, scheduled tasks for persistence, and sophisticated evasion techniques to maintain long-term access for espionage purposes.

Pulse ID: 6a109360ffcb2c8229a150c7
Pulse Link: https://otx.alienvault.com/pulse/6a109360ffcb2c8229a150c7
Pulse Author: AlienVault
Created: 2026-05-22 17:33:20

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Azure #CyberSecurity #Espionage #InfoSec #Iran #Israel #Malware #MiddleEast #NET #OTX #OpenThreatExchange #RAT #RemoteAccessTrojan #SMS #SideLoading #SocialEngineering #Trojan #UAE #Unit42 #bot #AlienVault

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

Unit 42 researchers identified six new remote access Trojan variants deployed by Iran-nexus APT group Screening Serpens between February and April 2026, coinciding with a regional conflict starting February 28, 2026. The group targeted entities in the U.S., Israel, UAE, and other Middle Eastern locations, primarily focusing on technology sector professionals through highly tailored social engineering using personalized recruitment lures. Two new malware families, MiniUpdate and MiniJunk V2, were discovered featuring advanced techniques including AppDomainManager hijacking that manipulates .NET application initialization to disable security mechanisms. The campaigns demonstrated increased technical capabilities and operational resilience, with each variant using dedicated C2 infrastructure hosted on Azure. The attacks leveraged DLL sideloading, scheduled tasks for persistence, and sophisticated evasion techniques to maintain long-term access for espionage purposes.

Pulse ID: 6a109360ffcb2c8229a150c7
Pulse Link: https://otx.alienvault.com/pulse/6a109360ffcb2c8229a150c7
Pulse Author: AlienVault
Created: 2026-05-22 17:33:20

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Azure #CyberSecurity #Espionage #InfoSec #Iran #Israel #Malware #MiddleEast #NET #OTX #OpenThreatExchange #RAT #RemoteAccessTrojan #SMS #SideLoading #SocialEngineering #Trojan #UAE #Unit42 #bot #AlienVault

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

Unit 42 researchers identified six new remote access Trojan variants deployed by Iran-nexus APT group Screening Serpens between February and April 2026, coinciding with a regional conflict starting February 28, 2026. The group targeted entities in the U.S., Israel, UAE, and other Middle Eastern locations, primarily focusing on technology sector professionals through highly tailored social engineering using personalized recruitment lures. Two new malware families, MiniUpdate and MiniJunk V2, were discovered featuring advanced techniques including AppDomainManager hijacking that manipulates .NET application initialization to disable security mechanisms. The campaigns demonstrated increased technical capabilities and operational resilience, with each variant using dedicated C2 infrastructure hosted on Azure. The attacks leveraged DLL sideloading, scheduled tasks for persistence, and sophisticated evasion techniques to maintain long-term access for espionage purposes.

Pulse ID: 6a109360ffcb2c8229a150c7
Pulse Link: https://otx.alienvault.com/pulse/6a109360ffcb2c8229a150c7
Pulse Author: AlienVault
Created: 2026-05-22 17:33:20

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Azure #CyberSecurity #Espionage #InfoSec #Iran #Israel #Malware #MiddleEast #NET #OTX #OpenThreatExchange #RAT #RemoteAccessTrojan #SMS #SideLoading #SocialEngineering #Trojan #UAE #Unit42 #bot #AlienVault

Tracking Iranian APT Screening Serpens’ 2026 Espionage Campaigns

Unit 42 researchers identified six new remote access Trojan variants deployed by Iran-nexus APT group Screening Serpens between February and April 2026, coinciding with a regional conflict starting February 28, 2026. The group targeted entities in the U.S., Israel, UAE, and other Middle Eastern locations, primarily focusing on technology sector professionals through highly tailored social engineering using personalized recruitment lures. Two new malware families, MiniUpdate and MiniJunk V2, were discovered featuring advanced techniques including AppDomainManager hijacking that manipulates .NET application initialization to disable security mechanisms. The campaigns demonstrated increased technical capabilities and operational resilience, with each variant using dedicated C2 infrastructure hosted on Azure. The attacks leveraged DLL sideloading, scheduled tasks for persistence, and sophisticated evasion techniques to maintain long-term access for espionage purposes.

Pulse ID: 6a109360ffcb2c8229a150c7
Pulse Link: https://otx.alienvault.com/pulse/6a109360ffcb2c8229a150c7
Pulse Author: AlienVault
Created: 2026-05-22 17:33:20

Be advised, this data is unverified and should be considered preliminary. Always do further verification.

#Azure #CyberSecurity #Espionage #InfoSec #Iran #Israel #Malware #MiddleEast #NET #OTX #OpenThreatExchange #RAT #RemoteAccessTrojan #SMS #SideLoading #SocialEngineering #Trojan #UAE #Unit42 #bot #AlienVault

Threat Actors Exploit Blind Spots Beyond Endpoint Defenses

Attackers are now moving at an alarming pace, taking data four times faster than in 2025, and exploiting the blind spots that an over-reliance on endpoint defenses creates. They're striking across multiple surfaces, from cloud services to remote users, to evade detection and get in and out quickly.

https://osintsights.com/threat-actors-exploit-blind-spots-beyond-endpoint-defenses?utm_source=mastodon&utm_medium=social

#EndpointDefenses #BlindSpots #Exfiltration #IncidentResponse #Unit42

TeamPCP Infiltrates Security Infrastructure with Multi-Stage Supply Chain Attack

When security tools meant to safeguard networks become the entry point for attacks, trust is shattered - and that's exactly what's happening with TeamPCP's multi-stage supply chain attacks on security infrastructure. This sinister tactic lets threat actors turn protectors into launchpads for wider compromise.

https://osintsights.com/teampcp-infiltrates-security-infrastructure-with-multi-stage-supply-chain-attack

#Teampcp #SupplyChainAttack #SecurityInfrastructure #Unit42 #VectRansomware

Unit 42 Uncovers Axios Supply Chain Attack's Far-Reaching Consequences

When a trusted software pathway is compromised, the consequences can be far-reaching - as Unit 42's recent analysis of the Axios supply chain attack starkly reveals, threatening digital trust and resilience. The team's detailed examination exposes the attack's full chain, from initial dropper to forensic cleanup.

https://osintsights.com/unit-42-uncovers-axios-supply-chain-attacks-far-reaching-consequences

#Axios #Unit42 #SupplyChainAttack #DigitalTrust #CyberResilience

Unit 42 Research Exposes Risks in Amazon Bedrock's Multi-Agent AI Systems

Unit 42's latest research reveals a hidden threat: multi-agent AI systems on Amazon Bedrock can be vulnerable to new and alarming risks, including prompt injection attacks that practitioners can't afford to ignore. Learn how to safeguard your AI applications from these emerging threats.

https://osintsights.com/unit-42-research-exposes-risks-in-amazon-bedrocks-multi-agent-ai-systems

#AmazonBedrock #MultiagentAiSystems #Unit42 #AiSecurity #PromptInjection

Kubernetes Environments Under Siege as Attacks Escalate

Kubernetes environments are under attack like never before, with threat actors exploiting identities and critical vulnerabilities to compromise cloud infrastructure - so what can organizations do to protect themselves? The warning signs are clear: it's time to take action against escalating Kubernetes attacks.

https://osintsights.com/kubernetes-environments-under-siege-as-attacks-escalate

#Kubernetes #CloudSecurity #Unit42 #IdentityExploitation #VulnerabilityExploitation

Unit 42: Identity gaps and AI speed increase enterprise risks https://techhq.com/news/unit-42-identity-gaps-and-ai-speed-increase-enterprise-risks/ #unit42 #paloaltonetworks #cybersecurity #threatintel #ciso #enterprise #infosec #ai #technology

Unit 42: Identity gaps and AI speed increase enterprise risks https://techhq.com/news/unit-42-identity-gaps-and-ai-speed-increase-enterprise-risks/ #unit42 #paloaltonetworks #cybersecurity #threatintel #ciso #enterprise #infosec #ai #technology

Unit 42: Identity gaps and AI speed increase enterprise risks https://techhq.com/news/unit-42-identity-gaps-and-ai-speed-increase-enterprise-risks/ #unit42 #paloaltonetworks #cybersecurity #threatintel #ciso #enterprise #infosec #ai #technology

Unit 42: Identity gaps and AI speed increase enterprise risks https://techhq.com/news/unit-42-identity-gaps-and-ai-speed-increase-enterprise-risks/ #unit42 #paloaltonetworks #cybersecurity #threatintel #ciso #enterprise #infosec #ai #technology

Unit 42: Identity gaps and AI speed increase enterprise risks https://techhq.com/news/unit-42-identity-gaps-and-ai-speed-increase-enterprise-risks/ #unit42 #paloaltonetworks #cybersecurity #threatintel #ciso #enterprise #infosec #ai #technology

Milano-Cortina 2026, la sfida invisibile: la sicurezza informatica sotto i riflettori: Milano-Cortina 2026 non sara’ solo una vetrina globale per lo sport invernale. Accanto alla competizione atletica, si profila un’altra sfida, meno visibile ma...
#cybersecurity #Unit42 #PaloAltoNetworks #UmbertoPirovano #intelligenzaartificiale http://dlvr.it/TQZs33

Milano-Cortina 2026, la sfida invisibile: la sicurezza informatica sotto i riflettori: Milano-Cortina 2026 non sara’ solo una vetrina globale per lo sport invernale. Accanto alla competizione atletica, si profila un’altra sfida, meno visibile ma...
#cybersecurity #Unit42 #PaloAltoNetworks #UmbertoPirovano #intelligenzaartificiale http://dlvr.it/TQZs33

Milano-Cortina 2026, la sfida invisibile: la sicurezza informatica sotto i riflettori: Milano-Cortina 2026 non sara’ solo una vetrina globale per lo sport invernale. Accanto alla competizione atletica, si profila un’altra sfida, meno visibile ma...
#cybersecurity #Unit42 #PaloAltoNetworks #UmbertoPirovano #intelligenzaartificiale http://dlvr.it/TQZs33

From ransomware to fake ticket scams, a new report warns that hackers are ready to exploit the Milano Cortina games. https://jpmellojr.blogspot.com/2026/01/hackers-going-for-gold-at-winter.html #PaloAltoNetworks #WinterOlympics #MilanoCortina2026 #Unit42 #scams #cybercrime

Surprising - NOT! We knew this was bound to happen, or should we indicate that Cyber Hackers just want to be more productive - like everyone else, and AI is a good place to explore!

Unit 42 @ Palo Alto Networks reports how underground hacking forums advertise and sell custom, jail broken, and open-source AI hacking tools. Cyber bad guys are accessing sophisticated underground markets for custom LLMs (many subscription-based) designed to assist with lower-level hacking tasks. https://cyberscoop.com/malicious-llm-tools-cybercrime-wormgpt-kawaiigpt/

#AI #CyberSecurity #CyberCrime #Darkweb #CyberHackers #Hackers #CyberAttacks #KawaiiGPT #WormGPT #Unit42 #CustomLLM #JailBreakLLM #Security #Productivity

Surprising - NOT! We knew this was bound to happen, or should we indicate that Cyber Hackers just want to be more productive - like everyone else, and AI is a good place to explore!

Unit 42 @ Palo Alto Networks reports how underground hacking forums advertise and sell custom, jail broken, and open-source AI hacking tools. Cyber bad guys are accessing sophisticated underground markets for custom LLMs (many subscription-based) designed to assist with lower-level hacking tasks. https://cyberscoop.com/malicious-llm-tools-cybercrime-wormgpt-kawaiigpt/

#AI #CyberSecurity #CyberCrime #Darkweb #CyberHackers #Hackers #CyberAttacks #KawaiiGPT #WormGPT #Unit42 #CustomLLM #JailBreakLLM #Security #Productivity

Surprising - NOT! We knew this was bound to happen, or should we indicate that Cyber Hackers just want to be more productive - like everyone else, and AI is a good place to explore!

Unit 42 @ Palo Alto Networks reports how underground hacking forums advertise and sell custom, jail broken, and open-source AI hacking tools. Cyber bad guys are accessing sophisticated underground markets for custom LLMs (many subscription-based) designed to assist with lower-level hacking tasks. https://cyberscoop.com/malicious-llm-tools-cybercrime-wormgpt-kawaiigpt/

#AI #CyberSecurity #CyberCrime #Darkweb #CyberHackers #Hackers #CyberAttacks #KawaiiGPT #WormGPT #Unit42 #CustomLLM #JailBreakLLM #Security #Productivity

Surprising - NOT! We knew this was bound to happen, or should we indicate that Cyber Hackers just want to be more productive - like everyone else, and AI is a good place to explore!

Unit 42 @ Palo Alto Networks reports how underground hacking forums advertise and sell custom, jail broken, and open-source AI hacking tools. Cyber bad guys are accessing sophisticated underground markets for custom LLMs
(many subscription-based) designed to assist with lower-level hacking tasks. https://cyberscoop.com/malicious-llm-tools-cybercrime-wormgpt-kawaiigpt/

#AI #CyberSecurity #CyberCrime #Darkweb #CyberHackers #Hackers #CyberAttacks #KawaiiGPT #WormGPT #Unit42 #CustomLLM #JailBreakLLM #Security #Productivity

Surprising - NOT! We knew this was bound to happen, or should we indicate that Cyber Hackers just want to be more productive - like everyone else, and AI is a good place to explore!

Unit 42 @ Palo Alto Networks reports how underground hacking forums advertise and sell custom, jail broken, and open-source AI hacking tools. Cyber bad guys are accessing sophisticated underground markets for custom LLMs (many subscription-based) designed to assist with lower-level hacking tasks. https://cyberscoop.com/malicious-llm-tools-cybercrime-wormgpt-kawaiigpt/

#AI #CyberSecurity #CyberCrime #Darkweb #CyberHackers #Hackers #CyberAttacks #KawaiiGPT #WormGPT #Unit42 #CustomLLM #JailBreakLLM #Security #Productivity

🎯 AI
===================

Executive summary: Unit 42 documents a class of purpose-built malicious LLMs, notably WormGPT and KawaiiGPT, which are intentionally stripped of ethical constraints and marketed to criminal customers. These models combine high linguistic fidelity with code-generation fluency to accelerate social engineering and malware development.

Technical details:
• Models are reported to be either trained without safety layers or fine‑tuned to bypass standard content filters. Marketing occurs in underground forums and Telegram channels.
• Core advertised capabilities include generation of tailored phishing emails, creation of polymorphic malware snippets, and orchestration/automation of reconnaissance workflows.
• The paired strengths of linguistic precision and programmatic code output enable rapid production of convincing lures and working payloads with minimal human expertise.

Analysis:
• The observed effect is a compression of the attacker development lifecycle: tasks that previously required multiple specialists (social engineering writers, malware coders, recon analysts) can be largely automated by a single model-driven workflow.
• This drives a “scale over skill” dynamic: less-skilled actors can execute higher-quality campaigns at volume, increasing potential for credential harvesting, data exfiltration, and follow-on intrusion activities.

Detection (as reported):
• Unit 42 positions these models as offensive tools rather than simple jailbroken public models; the article does not publish IoCs or sample payloads but highlights distribution via Telegram and underground forums.

Mitigation (as reported):
• Unit 42 offers AI Security Assessment and Incident Response services to help organizations evaluate risk and respond to compromises; readers are directed to Unit 42 Incident Response when urgent matters arise.

Limitations and open questions:
• The report does not include sample model outputs, hashes, or specific infrastructure indicators, limiting immediate operational detection tuning.
• The broader prevalence and integration of such models into larger criminal toolchains remain areas noted for further monitoring.

🔹 LLM #AIsecurity #malware #phishing #Unit42

🔗 Source: https://unit42.paloaltonetworks.com/dilemma-of-ai-malicious-llms/

🎯 AI
===================

Executive summary: Unit 42 documents a class of purpose-built malicious LLMs, notably WormGPT and KawaiiGPT, which are intentionally stripped of ethical constraints and marketed to criminal customers. These models combine high linguistic fidelity with code-generation fluency to accelerate social engineering and malware development.

Technical details:
• Models are reported to be either trained without safety layers or fine‑tuned to bypass standard content filters. Marketing occurs in underground forums and Telegram channels.
• Core advertised capabilities include generation of tailored phishing emails, creation of polymorphic malware snippets, and orchestration/automation of reconnaissance workflows.
• The paired strengths of linguistic precision and programmatic code output enable rapid production of convincing lures and working payloads with minimal human expertise.

Analysis:
• The observed effect is a compression of the attacker development lifecycle: tasks that previously required multiple specialists (social engineering writers, malware coders, recon analysts) can be largely automated by a single model-driven workflow.
• This drives a “scale over skill” dynamic: less-skilled actors can execute higher-quality campaigns at volume, increasing potential for credential harvesting, data exfiltration, and follow-on intrusion activities.

Detection (as reported):
• Unit 42 positions these models as offensive tools rather than simple jailbroken public models; the article does not publish IoCs or sample payloads but highlights distribution via Telegram and underground forums.

Mitigation (as reported):
• Unit 42 offers AI Security Assessment and Incident Response services to help organizations evaluate risk and respond to compromises; readers are directed to Unit 42 Incident Response when urgent matters arise.

Limitations and open questions:
• The report does not include sample model outputs, hashes, or specific infrastructure indicators, limiting immediate operational detection tuning.
• The broader prevalence and integration of such models into larger criminal toolchains remain areas noted for further monitoring.

🔹 LLM #AIsecurity #malware #phishing #Unit42

🔗 Source: https://unit42.paloaltonetworks.com/dilemma-of-ai-malicious-llms/

🎯 AI
===================

Executive summary: Unit 42 documents a class of purpose-built malicious LLMs, notably WormGPT and KawaiiGPT, which are intentionally stripped of ethical constraints and marketed to criminal customers. These models combine high linguistic fidelity with code-generation fluency to accelerate social engineering and malware development.

Technical details:
• Models are reported to be either trained without safety layers or fine‑tuned to bypass standard content filters. Marketing occurs in underground forums and Telegram channels.
• Core advertised capabilities include generation of tailored phishing emails, creation of polymorphic malware snippets, and orchestration/automation of reconnaissance workflows.
• The paired strengths of linguistic precision and programmatic code output enable rapid production of convincing lures and working payloads with minimal human expertise.

Analysis:
• The observed effect is a compression of the attacker development lifecycle: tasks that previously required multiple specialists (social engineering writers, malware coders, recon analysts) can be largely automated by a single model-driven workflow.
• This drives a “scale over skill” dynamic: less-skilled actors can execute higher-quality campaigns at volume, increasing potential for credential harvesting, data exfiltration, and follow-on intrusion activities.

Detection (as reported):
• Unit 42 positions these models as offensive tools rather than simple jailbroken public models; the article does not publish IoCs or sample payloads but highlights distribution via Telegram and underground forums.

Mitigation (as reported):
• Unit 42 offers AI Security Assessment and Incident Response services to help organizations evaluate risk and respond to compromises; readers are directed to Unit 42 Incident Response when urgent matters arise.

Limitations and open questions:
• The report does not include sample model outputs, hashes, or specific infrastructure indicators, limiting immediate operational detection tuning.
• The broader prevalence and integration of such models into larger criminal toolchains remain areas noted for further monitoring.

🔹 LLM #AIsecurity #malware #phishing #Unit42

🔗 Source: https://unit42.paloaltonetworks.com/dilemma-of-ai-malicious-llms/

🎯 AI
===================

Executive summary: Unit 42 documents a class of purpose-built malicious LLMs, notably WormGPT and KawaiiGPT, which are intentionally stripped of ethical constraints and marketed to criminal customers. These models combine high linguistic fidelity with code-generation fluency to accelerate social engineering and malware development.

Technical details:
• Models are reported to be either trained without safety layers or fine‑tuned to bypass standard content filters. Marketing occurs in underground forums and Telegram channels.
• Core advertised capabilities include generation of tailored phishing emails, creation of polymorphic malware snippets, and orchestration/automation of reconnaissance workflows.
• The paired strengths of linguistic precision and programmatic code output enable rapid production of convincing lures and working payloads with minimal human expertise.

Analysis:
• The observed effect is a compression of the attacker development lifecycle: tasks that previously required multiple specialists (social engineering writers, malware coders, recon analysts) can be largely automated by a single model-driven workflow.
• This drives a “scale over skill” dynamic: less-skilled actors can execute higher-quality campaigns at volume, increasing potential for credential harvesting, data exfiltration, and follow-on intrusion activities.

Detection (as reported):
• Unit 42 positions these models as offensive tools rather than simple jailbroken public models; the article does not publish IoCs or sample payloads but highlights distribution via Telegram and underground forums.

Mitigation (as reported):
• Unit 42 offers AI Security Assessment and Incident Response services to help organizations evaluate risk and respond to compromises; readers are directed to Unit 42 Incident Response when urgent matters arise.

Limitations and open questions:
• The report does not include sample model outputs, hashes, or specific infrastructure indicators, limiting immediate operational detection tuning.
• The broader prevalence and integration of such models into larger criminal toolchains remain areas noted for further monitoring.

🔹 LLM #AIsecurity #malware #phishing #Unit42

🔗 Source: https://unit42.paloaltonetworks.com/dilemma-of-ai-malicious-llms/

Another day, another #malware attack on #smartphones. Researchers at #Unit42, ,the threat intelligence arm of #PaloAltoNetworks , have revealed a sophisticated #spyware known as “Landfall” targeting #SamsungGalaxy phones. The researchers say this campaign leveraged a zero-day exploit in Samsung #Android software to steal a raft of personal data, and it was active for almost a year. Thankfully, the underlying #vulnerability has now been patched
#privacy #security

https://arstechnica.com/gadgets/2025/11/commercial-spyware-landfall-ran-rampant-on-samsung-phones-for-almost-a-year/

Another day, another #malware attack on #smartphones. Researchers at #Unit42, ,the threat intelligence arm of #PaloAltoNetworks , have revealed a sophisticated #spyware known as “Landfall” targeting #SamsungGalaxy phones. The researchers say this campaign leveraged a zero-day exploit in Samsung #Android software to steal a raft of personal data, and it was active for almost a year. Thankfully, the underlying #vulnerability has now been patched
#privacy #security

https://arstechnica.com/gadgets/2025/11/commercial-spyware-landfall-ran-rampant-on-samsung-phones-for-almost-a-year/

Another day, another #malware attack on #smartphones. Researchers at #Unit42, ,the threat intelligence arm of #PaloAltoNetworks , have revealed a sophisticated #spyware known as “Landfall” targeting #SamsungGalaxy phones. The researchers say this campaign leveraged a zero-day exploit in Samsung #Android software to steal a raft of personal data, and it was active for almost a year. Thankfully, the underlying #vulnerability has now been patched
#privacy #security

https://arstechnica.com/gadgets/2025/11/commercial-spyware-landfall-ran-rampant-on-samsung-phones-for-almost-a-year/

Another day, another #malware attack on #smartphones. Researchers at #Unit42, ,the threat intelligence arm of #PaloAltoNetworks , have revealed a sophisticated #spyware known as “Landfall” targeting #SamsungGalaxy phones. The researchers say this campaign leveraged a zero-day exploit in Samsung #Android software to steal a raft of personal data, and it was active for almost a year. Thankfully, the underlying #vulnerability has now been patched
#privacy #security

https://arstechnica.com/gadgets/2025/11/commercial-spyware-landfall-ran-rampant-on-samsung-phones-for-almost-a-year/

Another day, another #malware attack on #smartphones. Researchers at #Unit42, ,the threat intelligence arm of #PaloAltoNetworks , have revealed a sophisticated #spyware known as “Landfall” targeting #SamsungGalaxy phones. The researchers say this campaign leveraged a zero-day exploit in Samsung #Android software to steal a raft of personal data, and it was active for almost a year. Thankfully, the underlying #vulnerability has now been patched
#privacy #security

https://arstechnica.com/gadgets/2025/11/commercial-spyware-landfall-ran-rampant-on-samsung-phones-for-almost-a-year/

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices // Nouveau logiciel espion Android de niveau commercial dans une chaîne d’exploitation visant les appareils Samsung

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

@cyberfr

#Unit42 #Landfall #Android

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices // Nouveau logiciel espion Android de niveau commercial dans une chaîne d’exploitation visant les appareils Samsung

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

@cyberfr

#Unit42 #Landfall #Android

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices // Nouveau logiciel espion Android de niveau commercial dans une chaîne d’exploitation visant les appareils Samsung

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

@cyberfr

#Unit42 #Landfall #Android

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices // Nouveau logiciel espion Android de niveau commercial dans une chaîne d’exploitation visant les appareils Samsung

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

@cyberfr

#Unit42 #Landfall #Android

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices // Nouveau logiciel espion Android de niveau commercial dans une chaîne d’exploitation visant les appareils Samsung

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

@cyberfr

#Unit42 #Landfall #Android

https://www.europesays.com/pl/95184/ Badacze odkryli Landfall, czyli komercyjny spyware atakujący smartfony Samsung Galaxy przez pliki DNG w WhatsApp #BezpieczeństwoAndroid #BliskiWschód #CVE202521042 #cyberbezpieczenstwo #DNG #Landfall #LukaBezpieczeństwa #Nauka #NaukaITechnika #NaukaTechnika #OprogramowanieSzpiegujące #PaloAltoNetworks #PL #Poland #Polish #Polska #Polski #SamsungGalaxy #Science #ScienceAndTechnology #ScienceTechnology #spyware #Technika #Technology #Unit42 #whatsapp #ZeroClickExploit

Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie „Landfall”.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.

Jak to działało?

• Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
• Przynęta: „bronią” nie był zwykły JPG, lecz zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
• Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
• Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).

Sprawdź, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie „Landfall”.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.

Jak to działało?

• Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
• Przynęta: „bronią” nie był zwykły JPG, lecz zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
• Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
• Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).

Sprawdź, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie „Landfall”.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.

Jak to działało?

• Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
• Przynęta: „bronią” nie był zwykły JPG, lecz zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
• Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
• Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).

Sprawdź, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga

To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego oprogramowania szpiegowskiego o nazwie „Landfall”.

Atak był wymierzony w smartfony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.

Atak typu zero-click, czyli broń w obrazku

Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, że do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.

Jak to działało?

• Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
• Przynęta: „bronią” nie był zwykły JPG, lecz zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
• Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
• Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.

Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.

Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.

Kto był celem?

Analitycy z Unit 42 uspokajają, że nie był to atak masowy. Wszystko wskazuje na to, że „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).

W kodzie złośliwego oprogramowania znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).

Sprawdź, czy jesteś bezpieczny

Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.

Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, kluczowe jest, aby każdy posiadacz telefonu Samsung upewnił się, że ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.

#Android #CVE202521042 #DNG #GalaxyS23 #GalaxyS24_ #Landfall #lukaBezpieczeństwa #news #oprogramowanieSzpiegowskie #Samsung #spyware #Unit42 #zeroClick

https://www.europesays.com/ie/169585/ Samsung Spyware Attack — Critical LandFall 0-Day Used WhatsApp Images #Android #CVE202521042 #Éire #IE #Ireland #LandFall #SamsungSmartphone #SmasungGalaxy #Spyware #Technology #Unit42 #WhatsApp #ZeroDayAttack

Unit 42 links Airstalk — an MDM-abusing backdoor — to a suspected nation-state supply-chain campaign. Using AirWatch/Workspace ONE APIs for covert C2 and blob exfiltration, it targets browser artifacts and screenshots; some samples show likely-stolen signing certs.
How are you tightening vendor MDM permissions? Comment & follow TechNadu for updates.

#Airstalk #MDM #SupplyChain #Unit42 #CyberSecurity #Infosec #TechNadu #ThreatIntel #EndpointSecurity

Unit 42 links Airstalk — an MDM-abusing backdoor — to a suspected nation-state supply-chain campaign. Using AirWatch/Workspace ONE APIs for covert C2 and blob exfiltration, it targets browser artifacts and screenshots; some samples show likely-stolen signing certs.
How are you tightening vendor MDM permissions? Comment & follow TechNadu for updates.

#Airstalk #MDM #SupplyChain #Unit42 #CyberSecurity #Infosec #TechNadu #ThreatIntel #EndpointSecurity

Unit 42 links Airstalk — an MDM-abusing backdoor — to a suspected nation-state supply-chain campaign. Using AirWatch/Workspace ONE APIs for covert C2 and blob exfiltration, it targets browser artifacts and screenshots; some samples show likely-stolen signing certs.
How are you tightening vendor MDM permissions? Comment & follow TechNadu for updates.

#Airstalk #MDM #SupplyChain #Unit42 #CyberSecurity #Infosec #TechNadu #ThreatIntel #EndpointSecurity

🚨 Ransomware gangs are piggybacking on ToolShell SharePoint exploits.

🧪 Unit 42 ID’d 4L4MD4R ransomware, delivered via PowerShell loader post-fail exploit.
☢️ Targets: US NNSA, EU govs
⚙️ Exploits: CVE-2025-53770/53771
👥 Actors: Linen Typhoon, Violet Typhoon, Storm-2603

How are you securing your SharePoint stack?

#infosec #SharePoint #Ransomware #Unit42 #ToolShell #ZeroDay #Microsoft #CISA

🚨 Ransomware gangs are piggybacking on ToolShell SharePoint exploits.

🧪 Unit 42 ID’d 4L4MD4R ransomware, delivered via PowerShell loader post-fail exploit.
☢️ Targets: US NNSA, EU govs
⚙️ Exploits: CVE-2025-53770/53771
👥 Actors: Linen Typhoon, Violet Typhoon, Storm-2603

How are you securing your SharePoint stack?

#infosec #SharePoint #Ransomware #Unit42 #ToolShell #ZeroDay #Microsoft #CISA

Phishers Target Aviation Execs to Scam Customers https://krebsonsecurity.com/2025/07/phishers-target-aviation-execs-to-scam-customers/ #AssociationforFinancialProfessionals #InternetCrimeComplaintCenter #roomservice801@gmail.com #businessemailcompromise #financialfraudkillchain #Target:SmallBusinesses #Ne'er-Do-WellNews #PaloAltoNetworks #ALittleSunshine #SilverTerrier #Breadcrumbs #domaintools #JustyJohn #Unit42 #BEC