Une nouvelle technique d'évasion connue sous le nom de "EDR-Freeze" a émergé, changeant la façon dont les attaquants neutralisent la sécurité des points de terminaison. Contrairement aux méthodes traditionnelles qui tentent de faire planter ou de terminer les logiciels de sécurité (ce qui déclenche souvent des alertes), EDR-Freeze suspend entièrement le processus de sécurité, le rendant "comateux" mais techniquement vivant. Cette attaque est particulièrement dangereuse car elle fonctionne entièrement en mode utilisateur, ce qui signifie qu'elle ne nécessite pas que l'attaquant apporte un pilote vulnérable (BYOVD) ou exploite des failles au niveau du noyau. Au lieu de cela, elle abuse des outils légitimes de rapport d'erreurs de Windows pour geler les agents de Détection et Réponse des Points de Terminaison (EDR), créant un angle mort où des activités malveillantes peuvent se produire sans être détectées.