Bezpečnostné vyšetrovania našli malvér, ktorý otvára porty vzdialenej pracovnej plochy na bráne firewall. Porty RDP (Remote desktop) sú nastavené, čo útočníkom uľahčuje neskoršie zneužitie portov RDP.
Malvér Sarwent sa používa od roku 2018. Začiatkom roka 2020 poslal Vitali Kwemez tweet o malvéri Sarwent, ale na internete je o malvéri Sarwent málo informácií.
Spôsob, akým sa šíri malvér Sarwent, nie je celkom známy; existuje podozrenie, že Sarwent sa šíri prostredníctvom iného malvéru, pravdepodobne v botnetoch.
Čo je známe o Sarwente je, že po infekcii malvér vytvorí nový Windows používateľský účet na počítači a otvorí port RDP 3389 na počítači a vo Firewalle. RDP sa s najväčšou pravdepodobnosťou otvorí za účelom neskoršieho prístupu k infikovanému počítaču prostredníctvom vytvoreného Windows užívateľský účet.
Sarwent IP adresy, MD5 hash a domény sú známe zo Sarwentu, tieto podrobnosti sú distribuované do IOC (Indicators of kompromis), aby spoločnosti odhalili Sarwent.