Sikkerhetsundersøkelser har funnet skadelig programvare som åpner eksterne skrivebordsporter på brannmuren. RDP -portene (eksternt skrivebord) er satt opp, dette gjør det lettere for angriperne å misbruke RDP -portene senere.
Sarwent malware har vært i bruk siden 2018. I begynnelsen av 2020 sendte Vitali Kwemez en tweet om Sarwent malware, men det er lite informasjon om Sarwent malware på internett.
Måten Sarwent malware spres på er ikke helt kjent; det er mistanke om at Sarwent spres via annen skadelig programvare, muligens i botnett.
Det som er kjent om Sarwent er at etter infeksjon skaper skadelig programvare en ny Windows brukerkonto på datamaskinen og åpner RDP-port 3389 på datamaskinen og i brannmuren. RDP vil mest sannsynlig bli åpnet for senere å få tilgang til den infiserte datamaskinen gjennom den opprettede Windows brukerkonto.
Sarwent IP-adresser, MD5-hasher og domener er kjent fra Sarwent, disse detaljene blir distribuert til IOCs (Indicators of compromise) for selskaper å oppdage Sarwent.