As investigações de segurança encontraram malware que abre portas de área de trabalho remota no firewall. As portas RDP (área de trabalho remota) estão configuradas, o que torna mais fácil para os invasores abusarem das portas RDP posteriormente.
O malware Sarwent está em uso desde 2018. No início de 2020, Vitali Kwemez enviou um tweet sobre o malware Sarwent, mas há poucas informações sobre o malware Sarwent na internet.
A forma como o malware Sarwent se espalha não é totalmente conhecida; suspeita-se que o Sarwent se espalhe por meio de outro malware, possivelmente em botnets.
O que se sabe sobre o Sarwent é que após a infecção o malware cria um novo Windows conta de usuário no computador e abre a porta RDP 3389 no computador e no Firewall. O RDP provavelmente será aberto para acessar posteriormente o computador infectado por meio do Windows conta de usuário.
Endereços de IP do Sarwent, hashes MD5 e domínios são conhecidos do Sarwent, esses detalhes são distribuídos aos IOCs (Indicadores de comprometimento) para que as empresas detectem o Sarwent.