As investigacións de seguridade atoparon malware que abre portos de escritorio remoto no firewall. Os portos RDP (escritorio remoto) están configurados, isto facilita que os atacantes abusen dos portos RDP máis tarde.
O malware Sarwent estivo en uso desde 2018. A principios de 2020 Vitali Kwemez enviou un chío sobre o malware Sarwent pero hai pouca información sobre o malware Sarwent en Internet.
Non se coñece por completo a forma en que se espalla o malware Sarwent; sospéitase que Sarwent se estende a través doutro malware, posiblemente en botnets.
O que se sabe de Sarwent é que despois da infección o malware crea un novo Windows conta de usuario no ordenador e abre o porto RDP 3389 no ordenador e no Firewall. O RDP probablemente abrirase para poder acceder posteriormente ao ordenador infectado a través do creado Windows conta de usuario.
Os enderezos IP, os hash MD5 e os dominios de Sarwent son coñecidos por Sarwent, estes detalles distribúense aos IOC (Indicadores de compromiso) para que as empresas detecten Sarwent.