Investigațiile de securitate au găsit malware care deschide porturi desktop la distanță pe firewall. Porturile RDP (Desktop la distanță) sunt configurate, astfel încât atacatorii pot abuza mai târziu de porturile RDP.
Malware-ul Sarwent este utilizat din 2018. La începutul anului 2020, Vitali Kwemez a trimis un tweet despre malware-ul Sarwent, dar există puține informații despre malware-ul Sarwent pe internet.
Modul în care este răspândit malware-ul Sarwent nu este pe deplin cunoscut; se suspectează că Sarwent este răspândit prin alte programe malware, posibil în rețele bot.
Ceea ce se știe despre Sarwent este că, după infectare, malware-ul creează un nou Windows cont de utilizator pe computer și deschide portul RDP 3389 pe computer și în Firewall. Cel mai probabil, RDP va fi deschis pentru a accesa ulterior computerul infectat prin intermediul creatului Windows contul utilizatorului.
Adresele IP Sarwent, hash-urile MD5 și domeniile sunt cunoscute de la Sarwent, aceste detalii sunt distribuite IOC-urilor (Indicatori de compromis) pentru ca companiile să detecteze Sarwent.