Varnostne preiskave so odkrile zlonamerno programsko opremo, ki odpira vrata oddaljenega namizja na požarnem zidu. Vrata RDP (oddaljeno namizje) so nastavljena, kar napadalcem olajša kasnejšo zlorabo vrat RDP.
Zlonamerna programska oprema Sarwent je v uporabi od leta 2018. V začetku leta 2020 je Vitali Kwemez poslal tvit o zlonamerni programski opremi Sarwent, vendar je na internetu malo informacij o zlonamerni programski opremi Sarwent.
Način širjenja zlonamerne programske opreme Sarwent ni povsem znan; obstaja sum, da se Sarwent širi prek druge zlonamerne programske opreme, morda v botnetih.
O Sarwentu je znano, da po okužbi zlonamerna programska oprema ustvari novo Windows uporabniški račun v računalniku in odpre vrata RDP 3389 na računalniku in v požarnem zidu. RDP se bo najverjetneje odprl za poznejši dostop do okuženega računalnika prek ustvarjenega Windows uporabniški račun.
Sarwent IP naslovi, MD5 hashi in domene so znani iz Sarwent, te podrobnosti se posredujejo IOC-jem (Indikatorji ogroženosti), da podjetja odkrijejo Sarwent.