È emersa una nuova tecnica di evasione nota come "EDR-Freeze", che cambia il modo in cui gli attaccanti neutralizzano la sicurezza degli endpoint. A differenza dei metodi tradizionali che tentano di far crashare o terminare il software di sicurezza (il che spesso attiva avvisi), EDR-Freeze sospende completamente il processo di sicurezza, rendendolo "comatoso" ma tecnicamente vivo. Questo attacco è particolarmente pericoloso perché opera interamente in modalità utente, il che significa che non richiede all'attaccante di portare un driver vulnerabile (BYOVD) o sfruttare difetti a livello di kernel. Invece, abusa degli strumenti legittimi di segnalazione degli errori di Windows per congelare gli agenti di Rilevamento e Risposta agli Endpoint (EDR), creando un punto cieco in cui l'attività malevola può avvenire senza essere rilevata.