تحقیقات امنیتی بدافزاری را پیدا کرده است که پورت های دسکتاپ از راه دور را روی فایروال باز می کند. پورتهای RDP (Remote Desktop) تنظیم شدهاند، این امر باعث میشود مهاجمان بعداً از پورتهای RDP سوء استفاده کنند.
بدافزار Sarwent از سال 2018 مورد استفاده قرار گرفته است. در ابتدای سال 2020 Vitali Kwemez یک توییت در مورد بدافزار Sarwent ارسال کرد اما اطلاعات کمی در مورد بدافزار Sarwent در اینترنت وجود دارد.
روش انتشار بدافزار Sarwent کاملاً مشخص نیست. گمان می رود که Sarwent از طریق بدافزارهای دیگر، احتمالاً در بات نت ها، منتشر شده باشد.
آنچه در مورد Sarwent شناخته شده است این است که پس از آلوده شدن بدافزار یک بدافزار جدید ایجاد می کند Windows حساب کاربری روی کامپیوتر و پورت RDP 3389 را روی کامپیوتر و فایروال باز می کند. RDP به احتمال زیاد باز می شود تا بعداً از طریق ایجاد شده به رایانه آلوده دسترسی پیدا کنید Windows حساب کاربری.
آدرسهای IP Sarwent، هشهای MD5 و دامنهها از Sarwent شناخته شدهاند، این جزئیات در IOCs (شاخصهای سازش) برای شرکتها توزیع میشوند تا Sarwent را شناسایی کنند.