חקירות אבטחה מצאו תוכנות זדוניות שפותחות יציאות של שולחן עבודה מרוחק בחומת האש. יציאות RDP (שולחן עבודה מרוחק) מוגדרות, זה מקל על התוקפים לעשות שימוש לרעה ביציאות RDP מאוחר יותר.
התוכנה הזדונית Sarwent נמצאת בשימוש מאז 2018. בתחילת שנת 2020 שלח Vitali Kwemez ציוץ על התוכנה הזדונית Sarwent אך יש מעט מידע על תוכנת התוכנה Sarwent באינטרנט.
הדרך שבה תוכנת זדונית Sarwent מופצת אינה ידועה לחלוטין; יש חשד ש-Sarwent מופץ באמצעות תוכנות זדוניות אחרות, אולי ברשתות בוטים.
מה שידוע על Sarwent הוא שאחרי ההדבקה התוכנה הזדונית יוצרת חדש Windows חשבון משתמש במחשב ופותח את יציאת RDP 3389 במחשב ובחומת האש. RDP ככל הנראה ייפתח על מנת לגשת מאוחר יותר למחשב הנגוע דרך הקובץ שנוצר Windows חשבון משתמש.
כתובות IP של Sarwent, Hash MD5 ודומיינים ידועים מ- Sarwent, פרטים אלה מופצים ל-IOCs (אינדיקטורים של פשרה) כדי שחברות יזהו את Sarwent.