Drošības izmeklēšanas laikā ir atklāta ļaunprātīga programmatūra, kas atver ugunsmūra attālās darbvirsmas portus. Ir iestatīti RDP (attālās darbvirsmas) porti, tādējādi uzbrucējiem ir vieglāk vēlāk ļaunprātīgi izmantot RDP portus.
Sarwent ļaunprogrammatūra tiek izmantota kopš 2018. gada. 2020. gada sākumā Vitālijs Kvemezs nosūtīja tvītu par Sarwent ļaunprātīgu programmatūru, taču internetā par Sarwent ļaunprātīgu programmatūru ir maz informācijas.
Sarwent ļaunprogrammatūras izplatīšanas veids nav pilnībā zināms; pastāv aizdomas, ka Sarwent tiek izplatīts ar citu ļaunprogrammatūru starpniecību, iespējams, robottīklos.
Par Sarwent ir zināms, ka pēc inficēšanās ļaunprogrammatūra izveido jaunu Windows lietotāja kontu datorā un atver RDP portu 3389 datorā un ugunsmūrī. RDP, visticamāk, tiks atvērts, lai vēlāk caur izveidoto piekļūtu inficētajam datoram Windows lietotāja konts.
Sarwent IP adreses, MD5 jaucējkodoli un domēni ir zināmi no Sarwent, šī informācija tiek izplatīta IOC (kompromisa indikatoriem), lai uzņēmumi varētu noteikt Sarwent.