Siasatan keselamatan telah menemui perisian hasad yang membuka port desktop Jauh pada tembok api. Port RDP (Desktop jauh) telah disediakan, ini memudahkan penyerang menyalahgunakan port RDP di kemudian hari.
Malware Sarwent telah digunakan sejak 2018. Pada awal tahun 2020 Vitali Kwemez menghantar tweet tentang malware Sarwent tetapi terdapat sedikit maklumat tentang malware Sarwent di internet.
Cara penyebaran perisian hasad Sarwent tidak diketahui sepenuhnya; adalah disyaki bahawa Sarwent disebarkan melalui perisian hasad lain, mungkin dalam botnet.
Apa yang diketahui tentang Sarwent ialah selepas jangkitan malware mencipta yang baru Windows akaun pengguna pada komputer dan membuka port RDP 3389 pada komputer dan dalam Firewall. RDP berkemungkinan besar akan dibuka untuk mengakses komputer yang dijangkiti kemudiannya melalui yang dibuat Windows pengguna akaun.
Alamat IP Sarwent, cincangan MD5 dan domain diketahui daripada Sarwent, butiran ini diedarkan kepada IOC (Penunjuk kompromi) untuk syarikat mengesan Sarwent.