Безбедносните истраги открија малициозен софтвер што ги отвора портите за далечинска работна површина на заштитниот ѕид. Пристаништата RDP (Remote desktop) се поставени, што им олеснува на напаѓачите подоцна да ги злоупотребуваат RDP портите.
Злонамерниот софтвер Sarwent се користи од 2018 година. На почетокот на 2020 година Витали Квемез испрати твит за малициозниот софтвер Sarwent, но има малку информации за малициозниот софтвер Sarwent на интернет.
Начинот на кој се шири малициозниот софтвер Sarwent не е целосно познат; постои сомневање дека Sarwent се шири преку друг малициозен софтвер, веројатно во ботнети.
Она што е познато за Sarwent е дека по инфекцијата, малициозниот софтвер создава нов Windows корисничка сметка на компјутерот и ја отвора RDP портата 3389 на компјутерот и во заштитниот ѕид. RDP најверојатно ќе се отвори за подоцна да пристапи до заразениот компјутер преку креираното Windows корисничка сметка.
Sarwent IP адресите, MD5 хашовите и домените се познати од Sarwent, овие детали се дистрибуираат до IOC (Индикатори на компромис) за компаниите да го откријат Sarwent.