Saugumo tyrimai aptiko kenkėjiškų programų, kurios užkardoje atidaro nuotolinio darbalaukio prievadus. Nustatyti RDP (nuotolinio darbalaukio) prievadai, todėl užpuolikai vėliau gali lengviau piktnaudžiauti RDP prievadais.
Kenkėjiška „Sarwent“ programa naudojama nuo 2018 m. 2020 m. pradžioje Vitali Kwemez atsiuntė „Twitter“ pranešimą apie „Sarwent“ kenkėjišką programą, tačiau internete yra mažai informacijos apie „Sarwent“ kenkėjišką programą.
Sarwent kenkėjiškų programų plitimo būdas nėra visiškai žinomas; įtariama, kad Sarwent plinta per kitas kenkėjiškas programas, galbūt robotų tinklus.
Apie Sarwent žinoma tai, kad po užsikrėtimo kenkėjiška programa sukuria naują Windows vartotojo abonementą kompiuteryje ir atidaro 3389 RDP prievadą kompiuteryje bei užkardoje. KPP greičiausiai bus atidarytas, kad vėliau būtų galima pasiekti užkrėstą kompiuterį per sukurtą Windows vartotojo paskyra.
Sarwent IP adresai, MD5 maišos ir domenai yra žinomi iš Sarwent, ši informacija išplatinama IOC (kompromiso rodikliams), kad įmonės galėtų aptikti Sarwent.