Les investigacions de seguretat han trobat programari maliciós que obre ports d'escriptori remot al tallafoc. Els ports RDP (escriptori remot) estan configurats, això facilita que els atacants abusin dels ports RDP més endavant.
El programari maliciós Sarwent s'utilitza des del 2018. A principis del 2020, Vitali Kwemez va enviar un tuit sobre el programari maliciós Sarwent, però hi ha poca informació sobre el programari maliciós Sarwent a Internet.
La manera com es propaga el programari maliciós Sarwent no es coneix del tot; se sospita que Sarwent es propaga a través d'altres programes maliciosos, possiblement en botnets.
El que se sap de Sarwent és que després de la infecció el programari maliciós en crea un nou Windows compte d'usuari a l'ordinador i obre el port RDP 3389 a l'ordinador i al tallafoc. El més probable és que RDP s'obrirà per poder accedir posteriorment a l'ordinador infectat a través del creat Windows compte d'usuari.
Les adreces IP de Sarwent, els hash MD5 i els dominis es coneixen des de Sarwent, aquests detalls es distribueixen als IOC (Indicadors de compromís) perquè les empreses detectin Sarwent.