सुरक्षा जांच में मैलवेयर पाया गया है जो फ़ायरवॉल पर रिमोट डेस्कटॉप पोर्ट खोलता है। RDP (रिमोट डेस्कटॉप) पोर्ट सेट किए गए हैं, इससे हमलावरों के लिए बाद में RDP पोर्ट का दुरुपयोग करना आसान हो जाता है।
सरवेंट मैलवेयर 2018 से उपयोग में है। 2020 की शुरुआत में विटाली क्वेमेज़ ने सरवेंट मैलवेयर के बारे में एक ट्वीट भेजा लेकिन इंटरनेट पर सरवेंट मैलवेयर के बारे में बहुत कम जानकारी है।
जिस तरह से सरवेंट मैलवेयर फैलता है वह पूरी तरह से ज्ञात नहीं है; यह संदेह है कि सरवेंट अन्य मैलवेयर के माध्यम से फैलता है, संभवतः बॉटनेट में।
सरवेंट के बारे में जो ज्ञात है वह यह है कि संक्रमण के बाद मैलवेयर एक नया बनाता है Windows उपयोगकर्ता कंप्यूटर पर खाता है और कंप्यूटर और फ़ायरवॉल में RDP पोर्ट 3389 खोलता है। बाद में बनाए गए कंप्यूटर के माध्यम से संक्रमित कंप्यूटर तक पहुंचने के लिए आरडीपी को सबसे अधिक खोला जाएगा Windows उपभोक्ता खाता।
Sarwent IP पते, MD5 हैश और डोमेन Sarwent से ज्ञात हैं, ये विवरण IOCs (समझौता के संकेतक) को कंपनियों के लिए Sarwent का पता लगाने के लिए वितरित किए जाते हैं।