Անվտանգության հետաքննությունները հայտնաբերել են չարամիտ ծրագիր, որը բացում է հեռավոր աշխատասեղանի պորտերը firewall-ում: RDP (Հեռակա աշխատասեղանի) նավահանգիստները ստեղծվել են, ինչը հեշտացնում է հարձակվողների համար ավելի ուշ չարաշահել RDP նավահանգիստները:
Sarwent չարամիտ ծրագիրը օգտագործվում է 2018 թվականից: 2020 թվականի սկզբին Վիտալի Կվեմեսը թվիթ է ուղարկել Sarwent չարամիտ ծրագրի մասին, սակայն Sarwent չարամիտ ծրագրի մասին քիչ տեղեկություններ կան ինտերնետում:
Sarwent չարամիտ ծրագրի տարածման եղանակն ամբողջությամբ հայտնի չէ. Կասկածներ կան, որ Sarwent-ը տարածվում է այլ չարամիտ ծրագրերի միջոցով, հնարավոր է բոտնետներում:
Sarwent-ի մասին հայտնի է այն, որ վարակվելուց հետո չարամիտ ծրագիրը ստեղծում է նոր Windows օգտագործողի հաշիվը համակարգչում և բացում է RDP պորտը 3389 համակարգչում և Firewall-ում: RDP-ն, ամենայն հավանականությամբ, կբացվի, որպեսզի հետագայում մուտք գործեք վարակված համակարգիչը ստեղծված միջոցով Windows օգտվողի հաշիվ:
Sarwent-ի IP հասցեները, MD5 հեշերը և տիրույթները հայտնի են Sarwent-ից, այս մանրամասները բաժանվում են IOC-ներին (փոխզիջման ցուցիչներ), որպեսզի ընկերությունները հայտնաբերեն Sarwent-ը: