Uma nova técnica de evasão conhecida como "EDR-Freeze" surgiu, mudando a forma como os atacantes neutralizam a segurança dos endpoints. Diferente dos métodos tradicionais que tentam travar ou encerrar softwares de segurança (o que frequentemente aciona alertas), o EDR-Freeze suspende completamente o processo de segurança, deixando-o "em coma", mas tecnicamente vivo. Esse ataque é particularmente perigoso porque opera inteiramente no modo usuário, o que significa que não exige que o atacante traga um driver vulnerável (BYOVD) ou explore falhas em nível de kernel. Em vez disso, ele abusa das ferramentas legítimas de relatório de erros do Windows para congelar agentes de Detecção e Resposta de Endpoint (EDR), criando um ponto cego onde atividades maliciosas podem ocorrer sem serem detectadas.