Sekuriteitsondersoeke het wanware gevind wat Remote Desktop-poorte op die firewall oopmaak. Die RDP (Remote Desktop)-poorte is opgestel, dit maak dit makliker vir aanvallers om die RDP-poorte later te misbruik.
Die Sarwent-wanware is sedert 2018 in gebruik. Aan die begin van 2020 het Vitali Kwemez 'n twiet oor die Sarwent-wanware gestuur, maar daar is min inligting oor die Sarwent-wanware op die internet.
Die manier waarop Sarwent-wanware versprei word, is nie heeltemal bekend nie; daar word vermoed dat Sarwent via ander wanware versprei word, moontlik in botnets.
Wat bekend is oor Sarwent, is dat na infeksie die wanware 'n nuwe skep Windows gebruikersrekening op die rekenaar en maak RDP-poort 3389 op die rekenaar en in die Firewall oop. RDP sal heel waarskynlik oopgemaak word om later toegang tot die besmette rekenaar te verkry deur die geskepte Windows gebruikersrekening.
Sarwent IP-adresse, MD5-hashes en domeine is bekend van Sarwent, hierdie besonderhede word aan IOC's (Indicators of compromise) versprei vir maatskappye om Sarwent op te spoor.