Οι έρευνες ασφαλείας βρήκαν κακόβουλο λογισμικό που ανοίγει απομακρυσμένες θύρες επιφάνειας εργασίας στο τείχος προστασίας. Οι θύρες RDP (Απομακρυσμένη επιφάνεια εργασίας) έχουν ρυθμιστεί, αυτό διευκολύνει τους επιτιθέμενους να κάνουν κατάχρηση των θυρών RDP αργότερα.
Το κακόβουλο λογισμικό Sarwent χρησιμοποιείται από το 2018. Στις αρχές του 2020 ο Vitali Kwemez έστειλε ένα tweet σχετικά με το κακόβουλο λογισμικό Sarwent αλλά υπάρχουν λίγες πληροφορίες για το κακόβουλο λογισμικό Sarwent στο διαδίκτυο.
Ο τρόπος με τον οποίο διαδίδεται το κακόβουλο λογισμικό Sarwent δεν είναι πλήρως γνωστός. υπάρχει υποψία ότι το Sarwent διαδίδεται μέσω άλλου κακόβουλου λογισμικού, πιθανώς σε botnets.
Αυτό που είναι γνωστό για το Sarwent είναι ότι μετά τη μόλυνση το κακόβουλο λογισμικό δημιουργεί ένα νέο Windows λογαριασμό χρήστη στον υπολογιστή και ανοίγει τη θύρα RDP 3389 στον υπολογιστή και στο Τείχος προστασίας. Το RDP πιθανότατα θα ανοίξει για να αποκτήσετε αργότερα πρόσβαση στον μολυσμένο υπολογιστή μέσω του δημιουργημένου Windows λογαριασμός χρήστη.
Οι διευθύνσεις IP Sarwent, οι κατακερματισμοί MD5 και οι τομείς είναι γνωστοί από το Sarwent, οι λεπτομέρειες αυτές διανέμονται σε ΔΟΕ (Δείκτες συμβιβασμού) για τις εταιρείες που εντοπίζουν το Sarwent.