Sigurnosne istrage pronašle su zlonamjerni softver koji otvara portove udaljene radne površine na vatrozidu. RDP (Remote desktop) portovi su postavljeni, što napadačima olakšava kasniju zloupotrebu RDP portova.
Zlonamjerni softver Sarwent u upotrebi je od 2018. Početkom 2020. Vitali Kwemez je poslao tweet o zlonamjernom softveru Sarwent, ali na internetu ima malo informacija o zlonamjernom softveru Sarwent.
Način na koji se Sarwent zlonamjerni softver širi nije u potpunosti poznat; sumnja se da se Sarwent širi putem drugog zlonamjernog softvera, vjerojatno u botnetima.
Ono što je poznato o Sarwentu je da nakon infekcije zlonamjerni softver stvara novi Windows korisnički račun na računalu i otvara RDP port 3389 na računalu i u Firewall-u. RDP će se najvjerojatnije otvoriti kako bi se kasnije pristupilo zaraženom računalu putem kreiranog Windows korisnički račun.
Sarwent IP adrese, MD5 hashovi i domene poznati su iz Sarwent-a, ti se detalji distribuiraju IOC-ima (Indikatori kompromisa) kako bi tvrtke otkrile Sarwent.