Честно, сомневаюсь, что в 2024 году с такими громкими вызовами типа rundll32 + comsvcs.dll вообще можно быть хоть как-то тихим на нормальных EDR. Даже с инъекцией в svchost чаще всего будет сработка, особенно на crowdstrike или MDE в режиме prevent. В detect-only, может, повезет, но надежности особой нет. Лучше сразу думать о кастомных тулзах или обходах, а не надеяться на старые техники.