Расследаванне бяспекі выявіла шкоднаснае праграмнае забеспячэнне, якое адкрывае парты аддаленага працоўнага стала на брандмаўэры. Парты RDP (аддалены працоўны стол) настроены, гэта палягчае зламыснікам злоўжываць партамі RDP у далейшым.
Шкоднаснае праграмнае забеспячэнне Sarwent выкарыстоўваецца з 2018 года. У пачатку 2020 года Віталь Квемез напісаў твіт пра шкоднаснае праграмнае забеспячэнне Sarwent, але ў інтэрнэце мала інфармацыі аб шкоднасным праграмным забеспячэнні Sarwent.
Шлях распаўсюджвання шкоднасных праграм Sarwent не зусім вядомы; ёсць падазрэнні, што Sarwent распаўсюджваецца праз іншыя шкоднасныя праграмы, магчыма, у бот-сетках.
Пра Sarwent вядома тое, што пасля заражэння шкоднасная праграма стварае новы Windows уліковы запіс карыстальніка на кампутары і адкрывае порт RDP 3389 на кампутары і ў брандмаўэры. RDP, хутчэй за ўсё, будзе адкрыты, каб пазней атрымаць доступ да заражанага кампутара праз створаны Windows уліковы запіс карыстальніка.
IP-адрасы Sarwent, хэшы MD5 і дамены вядомыя ад Sarwent, гэтыя дэталі распаўсюджваюцца ў IOCs (Індыкатары кампрамісу), каб кампаніі маглі выявіць Sarwent.