A biztonsági vizsgálatok olyan rosszindulatú programokat találtak, amelyek megnyitják a távoli asztali portokat a tűzfalon. Az RDP (Remote Desktop) portok be vannak állítva, így a támadók később könnyebben visszaélhetnek az RDP-portokkal.
A Sarwent kártevőt 2018 óta használják. 2020 elején Vitali Kwemez tweetet küldött a Sarwent kártevőről, de kevés információ található az interneten a Sarwent kártevőről.
A Sarwent kártevők terjedésének módja nem teljesen ismert; A gyanú szerint a Sarwent más rosszindulatú programokon keresztül terjed, valószínűleg botnetekben.
A Sarwentről az ismeretes, hogy a fertőzés után a kártevő újat hoz létre Windows felhasználói fiókot a számítógépen, és megnyitja a 3389-es RDP-portot a számítógépen és a tűzfalon. Az RDP valószínűleg megnyílik, hogy később hozzáférhessen a fertőzött számítógéphez a létrehozott fájlon keresztül Windows Felhasználói fiók.
A Sarwent IP-címei, MD5-kivonatai és tartományai ismertek a Sarwent-től, ezeket a részleteket kiosztják az IOC-knak (Indicators of kompromisszum), hogy a vállalatok felismerhessék Sarwent.