Le indagini di sicurezza hanno rilevato malware che apre le porte del desktop remoto sul firewall. Le porte RDP (desktop remoto) sono impostate, questo rende più facile per gli aggressori abusare delle porte RDP in un secondo momento.
Il malware Sarwent è in uso dal 2018. All'inizio del 2020 Vitali Kwemez ha inviato un tweet sul malware Sarwent ma ci sono poche informazioni sul malware Sarwent su Internet.
Il modo in cui viene diffuso il malware Sarwent non è del tutto noto; si sospetta che Sarwent sia diffuso tramite altri malware, possibilmente in botnet.
Quello che si sa di Sarwent è che dopo l'infezione il malware ne crea una nuova Windows account utente sul computer e apre la porta RDP 3389 sul computer e nel firewall. Molto probabilmente verrà aperto RDP per accedere successivamente al computer infetto tramite il creato Windows account utente.
Gli indirizzi IP di Sarwent, gli hash MD5 e i domini sono noti da Sarwent, questi dettagli vengono distribuiti agli IOC (Indicatori di compromissione) affinché le aziende possano rilevare Sarwent.