Las investigaciones de seguridad han encontrado malware que abre puertos de escritorio remoto en el firewall. Los puertos RDP (escritorio remoto) están configurados, esto facilita que los atacantes abusen de los puertos RDP más adelante.
El malware Sarwent ha estado en uso desde 2018. A principios de 2020, Vitali Kwemez envió un tweet sobre el malware Sarwent, pero hay poca información sobre el malware Sarwent en Internet.
La forma en que se propaga el malware Sarwent no se conoce del todo; Se sospecha que Sarwent se propaga a través de otro malware, posiblemente en redes de bots.
Lo que se sabe sobre Sarwent es que después de la infección, el malware crea una nueva Windows cuenta de usuario en la computadora y abre el puerto RDP 3389 en la computadora y en el Firewall. Lo más probable es que se abra RDP para luego acceder a la computadora infectada a través del Windows cuenta de usuario.
Las direcciones IP de Sarwent, los hashes MD5 y los dominios son conocidos por Sarwent; estos detalles se distribuyen a los IOC (Indicadores de compromiso) para que las empresas detecten Sarwent.