Turvauuringud on leidnud pahavara, mis avab tulemüüris kaugtöölaua pordid. RDP (kaugtöölaua) pordid on seadistatud, mistõttu on ründajatel lihtsam RDP-porte hiljem kuritarvitada.
Sarwenti pahavara on kasutusel olnud aastast 2018. 2020. aasta alguses saatis Vitali Kwemez säutsu Sarwenti pahavara kohta, kuid Sarwenti pahavara kohta on internetis vähe teavet.
Sarwenti pahavara levitamise viis pole täielikult teada; kahtlustatakse, et Sarwent levib muu pahavara kaudu, võib-olla botnettide kaudu.
Sarwenti kohta on teada, et pärast nakatumist loob pahavara uue Windows kasutajakonto arvutis ja avab arvutis ja tulemüüris RDP-pordi 3389. Suure tõenäosusega avatakse RDP, et hiljem loodud kaudu nakatunud arvutisse pääseda Windows kasutajakonto.
Sarwenti IP-aadressid, MD5 räsid ja domeenid on Sarwentilt teada, need andmed jagatakse ettevõtetele Sarwenti tuvastamiseks IOC-idele (Indicators of kompromissi).