Безбедносне истраге су откриле малвер који отвара портове удаљене радне површине на заштитном зиду. РДП (Ремоте десктоп) портови су подешени, што олакшава нападачима да касније злоупотребе РДП портове.
Сарвент малвер је у употреби од 2018. Почетком 2020. Витали Квемез је послао твит о Сарвент малверу, али има мало информација о Сарвент малверу на интернету.
Начин на који се Сарвент малвер шири није у потпуности познат; сумња се да се Сарвент шири путем другог малвера, вероватно у ботнетима.
Оно што се зна о Сарвенту је да након инфекције малвер ствара нови Windows кориснички налог на рачунару и отвара РДП порт 3389 на рачунару иу заштитном зиду. РДП ће се највероватније отворити како би се касније приступило зараженом рачунару преко креираног Windows кориснички налог.
Сарвент ИП адресе, МД5 хешови и домени су познати из Сарвент-а, ови детаљи се дистрибуирају ИОЦ-има (Индикатори компромиса) како би компаније откриле Сарвент.