Badania bezpieczeństwa wykazały, że złośliwe oprogramowanie otwiera porty pulpitu zdalnego w zaporze. Porty RDP (zdalny pulpit) są skonfigurowane, co ułatwia atakującym późniejsze nadużycie portów RDP.
Szkodnik Sarwent jest używany od 2018 roku. Na początku 2020 roku Vitali Kwemez wysłał tweeta na temat złośliwego oprogramowania Sarwent, ale niewiele jest informacji na temat złośliwego oprogramowania Sarwent w Internecie.
Sposób rozprzestrzeniania się złośliwego oprogramowania Sarwent nie jest do końca znany; podejrzewa się, że Sarwent rozprzestrzenia się za pośrednictwem innego złośliwego oprogramowania, prawdopodobnie w botnetach.
O Sarwencie wiadomo, że po zainfekowaniu złośliwe oprogramowanie tworzy nowy Windows konto użytkownika na komputerze i otwiera port RDP 3389 na komputerze iw zaporze. RDP najprawdopodobniej zostanie otwarty w celu późniejszego uzyskania dostępu do zainfekowanego komputera za pośrednictwem utworzonej Windows konto użytkownika.
Adresy IP Sarwenta, skróty MD5 i domeny są znane z Sarwenta, te szczegóły są dystrybuowane do IOC (Indicators ofompromis) dla firm w celu wykrycia Sarwenta.