Tietoturvatutkimukset ovat löytäneet haittaohjelmia, jotka avaavat etätyöpöytäportteja palomuurissa. RDP (Remote Desktop) -portit on määritetty, mikä helpottaa hyökkääjien väärinkäyttöä RDP-portteja myöhemmin.
Sarwent-haittaohjelma on ollut käytössä vuodesta 2018. Vuoden 2020 alussa Vitali Kwemez lähetti Twitterin Sarwent-haittaohjelmasta, mutta Sarwent-haittaohjelmasta on vähän tietoa internetistä.
Tapa, jolla Sarwent-haittaohjelmat leviävät, ei ole täysin tiedossa; Sarwentin epäillään leviävän muiden haittaohjelmien kautta, mahdollisesti bottiverkkojen kautta.
Sarwentista tiedetään, että tartunnan jälkeen haittaohjelma luo uuden Windows käyttäjätili tietokoneeseen ja avaa RDP-portin 3389 tietokoneessa ja palomuurissa. RDP todennäköisesti avataan, jotta saastuneelle tietokoneelle päästään myöhemmin luodun kautta Windows käyttäjätili.
Sarwentin IP-osoitteet, MD5-tiivisteet ja verkkotunnukset tunnetaan Sarwentilta. Nämä tiedot jaetaan IOC:ille (Indicators of kompromissi), jotta yritykset voivat havaita Sarwentin.