APC Tandem: de injectietechniek die uw EDR niet ziet
Wat een recent gepubliceerde aanvalstechniek vertelt over de grenzen van endpoint-beveiliging
Veel organisaties hebben inmiddels geïnvesteerd in een EDR-oplossing. Endpoint Detection & Response geldt als de standaard voor wie serieus bezig is met cybersecurity. De gedachte: als er iets kwaadaardigs op een systeem wordt uitgevoerd, ziet de EDR het.
Dat vertrouwen is begrijpelijk. Maar het is niet altijd terecht.
Eind mei 2026 publiceerde beveiligingsonderzoeker S12 een technische analyse van een aanvalsmethode genaamd APC Tandem. De techniek injecteert kwaadaardige code in een lopend Windows-proces, zonder gebruik te maken van de API-aanroepen waar EDR-oplossingen standaard op letten. Het resultaat: een werkende shellcode-uitvoering die door vrijwel alle gangbare endpoint-producten onopgemerkt bleef. Microsoft Defender detecteerde het niet. Van de 36 geteste engines sloeg er één alarm, en dat was op basis van een generieke heuristiek, niet op de techniek zelf.
Dat is geen fout van één leverancier. Het is een structureel probleem met hoe EDR-detectie werkt.
Hoe klassieke process injection eruitziet
Om te begrijpen waarom APC Tandem zo effectief is, moet u eerst weten wat EDR-oplossingen wél detecteren.
De klassieke methode om code in een extern Windows-proces te injecteren volgt een vaste volgorde. Een aanvaller opent het doelproces, reserveert geheugen daarin, schrijft de kwaadaardige code naar dat geheugen, en start vervolgens een nieuwe thread om die code uit te voeren. Elke stap in die keten gebruikt een specifieke Windows API-aanroep: VirtualAllocEx voor de geheugenreservering, WriteProcessMemory voor het schrijven, CreateRemoteThread voor de uitvoering.
EDR-leveranciers weten dit. Ze hebben hun detectie jarenlang gebouwd op het monitoren van precies deze aanroepen. Wie deze vier functies in combinatie aanroept vanuit een onbekend proces, wordt gemarkeerd.
Aanvallers weten dit ook.
Wat APC Tandem anders doet
APC Tandem vervangt elk van die vier klassieke stappen door een equivalent dat nauwelijks gemonitord wordt.
In plaats van VirtualAllocEx zoekt de techniek naar geheugenregio’s die al bestaan in het doelproces en al de juiste rechten hebben. Veel legitieme applicaties, waaronder browsers en Office-producten, bevatten dergelijke regio’s als bijproduct van hun eigen werking. Geen nieuwe allocatie, geen detectiesignaal.
In plaats van WriteProcessMemory gebruikt APC Tandem het thread description-veld: een functie waarmee Windows een tekstlabel aan een thread kan koppelen. Dat veld accepteert willekeurige bytes tot 65.535 bytes per overdracht en wordt door vrijwel geen enkel EDR-product gemonitord als schrijfkanaal. De shellcode wordt in stukken via dit veld naar het doelproces gesmokkeld.
In plaats van CreateRemoteThread gebruikt de techniek een zogeheten Special User APC via NtQueueApcThreadEx2. Een APC is een Asynchronous Procedure Call, een mechanisme waarmee Windows code kan laten uitvoeren binnen de context van een bestaande thread. De Special User-variant is bijzonder omdat die wordt afgeleverd zelfs als de doelthread niet in een wachtstaat verkeert, wat de techniek bruikbaar maakt tegen vrijwel elk lopend proces.
Het eindresultaat is functioneel identiek aan klassieke process injection, maar bereikt via een keten van primitieven die ieder afzonderlijk volledig legitiem zijn.
Een EDR die losse API-aanroepen bewaakt, ziet een aanvaller die API-aanroepen vermijdt niet.
Waarom dit structureel is, niet incidenteel
APC Tandem is geen unieke uitvinding. Het is de meest recente uitwerking van een patroon dat al jaren zichtbaar is in offensief onderzoek. Atom Bombing (2016), Early Bird APC, Pool Party (2023): allemaal variaties op hetzelfde principe. Vervang de bekende aanroepen door minder bekende equivalenten, keten ze samen, en de detectie valt weg.
Elke keer dat de beveiligingsindustrie een nieuwe techniek toevoegt aan haar detectielijst, verschuiven aanvallers naar de volgende primitief die nog niet op die lijst staat. Het is geen wapenwedloop die verdedigers kunnen winnen door harder te kijken naar dezelfde signalen.
Dat betekent niet dat EDR waardeloos is. Het betekent dat EDR alleen niet voldoende is als uw enige verdedigingslinie.
Wat dit betekent voor uw organisatie
Er zijn drie conclusies die u als CISO of beslisser uit APC Tandem kunt trekken.
Ten eerste: stel uw detectiedekking kritisch ter discussie. De vraag is niet of uw EDR-leverancier goed werk levert, maar of uw detectiestrategie verder reikt dan API-niveau monitoring. Gedragsanalyse op procesniveau, detectie van ongebruikelijke thread-interacties en sequentiële patroonherkenning zijn het terrein waarop dit soort technieken wél zichtbaar worden. Vraag uw leverancier specifiek hoe zij APC-gebaseerde injectie detecteren, en of zij NtQueueApcThreadEx2 in combinatie met NtSetInformationThread monitoren.
Ten tweede: red team-testen zijn geen luxe. Een EDR die in een laboratorium alle bekende malware detecteert, hoeft in de praktijk geen enkele onbekende techniek te herkennen. De enige manier om te weten wat uw omgeving daadwerkelijk detecteert, is door het te testen met technieken die aanvallers ook gebruiken. Niet op basis van standaard-tooling die elke vendortest passeert, maar op basis van actuele onderzoeksresultaten zoals APC Tandem.
Ten derde: investeer in detectie die verder kijkt dan de eindpunten. Veel van de meest impactvolle aanvallen die Rootsec tegenkomt tijdens pentests beginnen niet met geavanceerde code-injectie. Ze beginnen met een account dat te veel rechten heeft, een externe partij met permanente toegang, of een configuratie die nooit is opgeruimd. APC Tandem is indrukwekkend als techniek, maar een aanvaller die al over geldige credentials beschikt heeft dit soort evasion helemaal niet nodig.
De gevaarlijkste blinde vlek is niet de techniek die uw EDR niet ziet. Het is de toegang die u nooit had moeten verlenen.
Conclusie
APC Tandem laat zien wat offensief onderzoek keer op keer bevestigt: detectie op basis van bekende patronen verliest het altijd van aanvallers die bereid zijn één laag dieper te kijken. De reactie hierop is niet meer van hetzelfde, maar een bredere verdedigingsstrategie die ook omvat wat er buiten het zichtbereik van uw EDR gebeurt.
Als u wilt weten wat een aanvaller ziet als hij naar uw omgeving kijkt, is dat precies de vraag waarvoor een onafhankelijke pentest of red team-assessment bedoeld is.
Over Rootsec
Rootsec B.V. is een onafhankelijk cybersecuritybedrijf gespecialiseerd in penetratietesten, red teaming en managed security. Wij helpen organisaties in Nederland en internationaal begrijpen wat hun werkelijke dreigingsblootstelling is. Voor een vrijblijvend gesprek: calendly.com/rootsec/30min
