Bezpečnostní vyšetřování odhalilo malware, který otevírá porty vzdálené plochy na bráně firewall. Porty RDP (Remote desktop) jsou nastaveny, což útočníkům usnadňuje pozdější zneužití portů RDP.
Malware Sarwent se používá od roku 2018. Na začátku roku 2020 poslal Vitali Kwemez tweet o malwaru Sarwent, ale na internetu je o malwaru Sarwent málo informací.
Způsob, jakým se malware Sarwent šíří, není zcela znám; existuje podezření, že Sarwent se šíří prostřednictvím jiného malwaru, pravděpodobně v botnetech.
O Sarwentu je známo, že po infekci malware vytvoří nový Windows uživatelský účet v počítači a otevře port RDP 3389 v počítači a ve bráně firewall. RDP se s největší pravděpodobností otevře za účelem pozdějšího přístupu k infikovanému počítači prostřednictvím vytvořeného Windows Uživatelský účet.
Sarwent IP adresy, MD5 hashe a domény jsou známy ze Sarwent, tyto podrobnosti jsou distribuovány IOC (Indicators of kompromis), aby společnosti Sarwent detekovaly.