Разследванията по сигурността са открили злонамерен софтуер, който отваря портовете на отдалечен работен плот на защитната стена. RDP (отдалечен работен плот) портовете са настроени, което улеснява нападателите да злоупотребяват с RDP портовете по-късно.
Зловредният софтуер Sarwent се използва от 2018 г. В началото на 2020 г. Виталий Квемез изпрати туит за злонамерения софтуер Sarwent, но има малко информация за него в интернет.
Начинът, по който се разпространява злонамерен софтуер на Sarwent, не е напълно известен; Подозира се, че Sarwent се разпространява чрез друг зловреден софтуер, вероятно в ботнети.
Това, което се знае за Sarwent е, че след заразяване зловредният софтуер създава нов Windows потребителски акаунт на компютъра и отваря RDP порт 3389 на компютъра и в защитната стена. RDP най-вероятно ще бъде отворен, за да има по-късно достъп до заразения компютър чрез създадения Windows потребителски акаунт.
IP адресите на Sarwent, MD5 хешовете и домейните са известни от Sarwent, тези подробности се разпространяват до IOC (индикатори за компромис), за да могат компаниите да открият Sarwent.