უსაფრთხოების გამოძიებებმა აღმოაჩინა მავნე პროგრამა, რომელიც ხსნის დისტანციური დესკტოპის პორტებს firewall-ზე. RDP (დისტანციური დესკტოპის) პორტები დაყენებულია, ეს უადვილებს თავდამსხმელებს RDP პორტების ბოროტად გამოყენებას მოგვიანებით.
Sarwent მავნე პროგრამა გამოიყენება 2018 წლიდან. 2020 წლის დასაწყისში ვიტალი კვემესმა გამოაგზავნა ტვიტი Sarwent მავნე პროგრამის შესახებ, მაგრამ მცირე ინფორმაციაა Sarwent მავნე პროგრამის შესახებ ინტერნეტში.
Sarwent მავნე პროგრამის გავრცელების გზა ბოლომდე ცნობილი არ არის; არსებობს ეჭვი, რომ Sarwent ვრცელდება სხვა მავნე პროგრამების საშუალებით, შესაძლოა ბოტნეტებში.
Sarwent-ის შესახებ ცნობილია ის, რომ ინფექციის შემდეგ მავნე პროგრამა ქმნის ახალს Windows მომხმარებლის ანგარიში კომპიუტერზე და ხსნის RDP პორტს 3389 კომპიუტერზე და Firewall-ში. RDP, სავარაუდოდ, გაიხსნება, რათა მოგვიანებით შევიდეს ინფიცირებულ კომპიუტერზე შექმნილის მეშვეობით Windows მომხმარებლის ანგარიში.
Sarwent-ის IP მისამართები, MD5 ჰეშები და დომენები ცნობილია Sarwent-ისგან, ეს დეტალები ნაწილდება IOC-ებში (კომპრომისის ინდიკატორები) კომპანიებისთვის, რომ აღმოაჩინონ Sarwent.