Nakaplagan sa mga imbestigasyon sa seguridad ang malware nga nagbukas sa Remote desktop port sa firewall. Ang RDP (Remote desktop) nga mga pantalan gipahimutang, kini nagpasayon sa mga tig-atake sa pag-abuso sa mga RDP nga mga pantalan sa ulahi.
Ang Sarwent malware gigamit na sukad 2018. Sa sinugdanan sa 2020 si Vitali Kwemez nagpadala ug tweet bahin sa Sarwent malware pero gamay ra ang impormasyon bahin sa Sarwent malware sa internet.
Ang paagi diin ang Sarwent malware mikaylap dili hingpit nga nahibal-an; gisuspetsahan nga si Sarwent mikaylap pinaagi sa ubang malware, lagmit sa mga botnet.
Ang nahibal-an bahin sa Sarwent mao nga pagkahuman sa impeksyon ang malware nagmugna usa ka bag-o Windows user account sa kompyuter ug ablihan ang RDP port 3389 sa kompyuter ug sa Firewall. Ang RDP lagmit maablihan aron ma-access sa ulahi ang nataptan nga kompyuter pinaagi sa gibuhat Windows user account.
Ang mga adres sa Sarwent IP, MD5 hash, ug mga domain nahibal-an gikan sa Sarwent, kini nga mga detalye giapod-apod sa mga IOC (Mga timailhan sa pagkompromiso) aron makit-an sa mga kompanya si Sarwent.