Ha surgido una nueva técnica de evasión conocida como "EDR-Freeze", que cambia la forma en que los atacantes neutralizan la seguridad de los endpoints. A diferencia de los métodos tradicionales que intentan fallar o terminar el software de seguridad (que a menudo activa alertas), el EDR-Freeze suspende completamente el proceso de seguridad, dejándolo "en coma" pero técnicamente vivo. Este ataque es especialmente peligroso porque opera completamente en modo usuario, lo que significa que no requiere que el atacante traiga un controlador vulnerable (BYOVD) ni explote fallos a nivel de núcleo. En su lugar, abusa de las herramientas legítimas de notificación de errores de Windows para congelar a los agentes de Detección y Respuesta de Endpoint (EDR), creando un punto ciego donde puede ocurrir actividad maliciosa sin ser detectada.