Sikkerhedsundersøgelser har fundet malware, der åbner fjernskrivebordsporte på firewallen. RDP-portene (Remote desktop) er sat op, dette gør det lettere for angribere at misbruge RDP-portene senere.
Sarwent-malwaren har været i brug siden 2018. I begyndelsen af 2020 sendte Vitali Kwemez et tweet om Sarwent-malwaren, men der er lidt information om Sarwent-malwaren på internettet.
Måden, hvorpå Sarwent malware spredes, er ikke helt kendt; det er mistanke om, at Sarwent spredes via anden malware, muligvis i botnets.
Hvad man ved om Sarwent er, at efter infektion opretter malwaren en ny Windows brugerkonto på computeren og åbner RDP-port 3389 på computeren og i firewall'en. RDP vil højst sandsynligt blive åbnet for senere at få adgang til den inficerede computer gennem den oprettede Windows brugerkonto.
Sarwent IP-adresser, MD5 hashes og domæner er kendt fra Sarwent, disse detaljer distribueres til IOC'er (Indicators of compromise) for at virksomheder kan opdage Sarwent.