Beveiligingsonderzoeken hebben malware gevonden die Remote Desktop-poorten op de firewall opent. De RDP-poorten (Remote desktop) zijn ingesteld, dit maakt het voor aanvallers gemakkelijker om later misbruik te maken van de RDP-poorten.
De Sarwent-malware is sinds 2018 in gebruik. Begin 2020 stuurde Vitali Kwemez een tweet over de Sarwent-malware maar er is weinig informatie over de Sarwent-malware op internet.
De manier waarop Sarwent-malware wordt verspreid, is niet helemaal bekend; het vermoeden bestaat dat Sarwent wordt verspreid via andere malware, mogelijk in botnets.
Wat wel bekend is over Sarwent is dat de malware na infectie een nieuwe Windows gebruikersaccount op de computer en opent RDP-poort 3389 op de computer en in de firewall. RDP zal hoogstwaarschijnlijk worden geopend om later toegang te krijgen tot de geïnfecteerde computer via de aangemaakte Windows gebruikers account.
Sarwent IP-adressen, MD5-hashes en domeinen zijn bekend van Sarwent, deze details worden gedistribueerd naar IOC's (Indicators of Compromise) zodat bedrijven Sarwent kunnen detecteren.