Investigasi keamanan telah menemukan malware yang membuka port Remote desktop di firewall. Port RDP (Remote desktop) sudah diatur, ini memudahkan penyerang untuk menyalahgunakan port RDP di kemudian hari.
Malware Sarwent telah digunakan sejak 2018. Pada awal tahun 2020 Vitali Kwemez mengirim tweet tentang malware Sarwent tetapi ada sedikit informasi tentang malware Sarwent di internet.
Cara penyebaran malware Sarwent tidak sepenuhnya diketahui; Sarwent diduga menyebar melalui malware lain, mungkin di botnet.
Apa yang diketahui tentang Sarwent adalah bahwa setelah infeksi, malware membuat yang baru Windows akun pengguna di komputer dan membuka port RDP 3389 di komputer dan di Firewall. RDP kemungkinan besar akan dibuka untuk kemudian mengakses komputer yang terinfeksi melalui yang dibuat Windows akun pengguna.
Alamat IP Sarwent, hash MD5, dan domain diketahui dari Sarwent, detail ini didistribusikan ke IOC (Indikator kompromi) agar perusahaan dapat mendeteksi Sarwent.