Sigurnosne istrage otkrile su zlonamjerni softver koji otvara portove udaljene radne površine na vatrozidu. RDP (Remote desktop) portovi su postavljeni, što napadačima olakšava kasnije zloupotrebu RDP portova.
Sarwent malver je u upotrebi od 2018. Početkom 2020. Vitali Kwemez je poslao tweet o Sarwent malveru, ali na internetu ima malo informacija o Sarwent malveru.
Način na koji se Sarwent zlonamjerni softver širi nije u potpunosti poznat; Sumnja se da se Sarwent širi putem drugog zlonamjernog softvera, vjerovatno u bonet mrežama.
Ono što se zna o Sarwentu je da nakon infekcije zlonamjerni softver stvara novi Windows korisnički nalog na računaru i otvara RDP port 3389 na računaru iu zaštitnom zidu. RDP će se najvjerovatnije otvoriti kako bi se kasnije pristupilo zaraženom računaru preko kreiranog Windows korisnički račun.
Sarwent IP adrese, MD5 hashovi i domeni poznati su iz Sarwent-a, ovi detalji se distribuiraju IOC-ima (Indikatori kompromisa) kako bi kompanije otkrile Sarwent.