Hetimet e sigurisë kanë gjetur malware që hapin portat e desktopit në distancë në murin e zjarrit. Portat RDP (Remote desktop) janë konfiguruar, kjo e bën më të lehtë për sulmuesit që të abuzojnë me portet RDP më vonë.
Malware-i Sarwent ka qenë në përdorim që nga viti 2018. Në fillim të vitit 2020, Vitali Kwemez dërgoi një cicërimë në lidhje me malware-in Sarwent, por ka pak informacion në lidhje me malware-in Sarwent në internet.
Mënyra se si përhapet malware Sarwent nuk dihet plotësisht; Dyshohet se Sarwent është përhapur përmes malware të tjerë, ndoshta në botnet.
Ajo që dihet për Sarwent është se pas infektimit malware krijon një të ri Windows llogaria e përdoruesit në kompjuter dhe hap portin RDP 3389 në kompjuter dhe në Firewall. RDP ka shumë të ngjarë të hapet për të hyrë më vonë në kompjuterin e infektuar përmes të krijuarit Windows llogaria e përdoruesit.
Adresat IP të Sarwent, hash-et MD5 dhe domenet njihen nga Sarwent, këto detaje u shpërndahen IOC-ve (Treguesit e kompromisit) që kompanitë të zbulojnë Sarwent.