Simplemente significa hacer algo como intentar un solo intento de conexión a un solo puerto con mucho tiempo entre.
Pero qué significa "lento" y cuánto tiempo no está definido. 1 / hr? ¿1 día? Depende de lo sigilosa que quiera ser la persona y de cuáles sean sus objetivos.
nmap tiene muchas opciones de configuración para hacer esto (lea el manual: enlace )
Por ejemplo: T0 envía un solo intento de conexión a un puerto a la vez con 5 minutos en el medio. Existen numerosas opciones de configuración más finas en las que puedes definir exactamente lo que quieres hacer.
Desafío la afirmación de que los hackers avanzados no realizan escaneos de red ruidosos. Realmente depende de la situación. No hay razón para ir lento en una IP pública. Las IP internas, una vez que estés dentro y re-enumerando, necesitarían esto, pero esto no es algo que solo los atacantes avanzados harían. Es solo una respuesta a la realidad de que se descubrirían escaneos ruidosos y también el atacante. Normalmente, el atacante escucha el tráfico o hace otras enumeraciones para tener una idea de qué servidores están disponibles y qué sirven.