Feiligensûndersiken hawwe malware fûn dy't Remote Desktop-poarten op 'e firewall iepenet. De RDP (Remote Desktop) havens wurde ynsteld, dit makket it makliker foar oanfallers om misbrûk fan de RDP havens letter.
De Sarwent-malware is yn gebrûk sûnt 2018. Oan it begjin fan 2020 stjoerde Vitali Kwemez in tweet oer de Sarwent-malware, mar d'r is net folle ynformaasje oer de Sarwent-malware op it ynternet.
De wize wêrop Sarwent malware wurdt ferspraat is net hielendal bekend; it wurdt fertocht dat Sarwent wurdt ferspraat fia oare malware, mooglik yn botnets.
Wat bekend is oer Sarwent is dat nei ynfeksje de malware in nij makket Windows brûkersaccount op 'e kompjûter en iepenet RDP-poarte 3389 op' e kompjûter en yn 'e Firewall. RDP sil nei alle gedachten wurde iepene om letter tagong te krijen ta de ynfekteare kompjûter fia de oanmakke Windows brûker akkount.
Sarwent IP-adressen, MD5-hashes en domeinen binne bekend fan Sarwent, dizze details wurde ferspraat oan IOC's (Indicators of compromise) foar bedriuwen om Sarwent te detektearjen.