Sekurecaj esploroj trovis malware, kiu malfermas Malproksimajn labortablajn havenojn sur la fajroŝirmilo. La RDP (Fora labortablo) havenoj estas starigitaj, tio faciligas al atakantoj misuzi la RDP-havenojn poste.
La Sarwent-malware estas uzata ekde 2018. Komence de 2020 Vitali Kwemez sendis tweet pri la Sarwent-malware sed estas malmulte da informoj pri la Sarwent-malware en la interreto.
La maniero kiel Sarwent-malware estas disvastigita ne estas tute konata; oni suspektas, ke Sarwent estas disvastigita per alia malware, eble en botnetoj.
Kio estas konata pri Sarwent estas, ke post infekto la malware kreas novan Windows uzantkonto en la komputilo kaj malfermas RDP-havenon 3389 en la komputilo kaj en la Fajroŝirmilo. RDP plej verŝajne estos malfermita por poste aliri la infektitan komputilon per la kreita Windows uzantkonto.
Sarwent-IP-adresoj, MD5-haŝiŝoj kaj domajnoj estas konataj de Sarwent, ĉi tiuj detaloj estas distribuitaj al IOC-oj (Indikiloj de kompromiso) por kompanioj por detekti Sarwent.