Säkerhetsundersökningar har hittat skadlig programvara som öppnar fjärrskrivbordsportar på brandväggen. RDP-portarna (Remote Desktop) är inställda, detta gör det lättare för angripare att missbruka RDP-portarna senare.
Sarwent malware har använts sedan 2018. I början av 2020 skickade Vitali Kwemez en tweet om Sarwent malware men det finns lite information om Sarwent malware på internet.
Sättet på vilket Sarwent malware sprids är inte helt känt; det misstänks att Sarwent sprids via annan skadlig programvara, möjligen i botnät.
Vad som är känt om Sarwent är att efter infektion skapar skadlig programvara en ny Windows användarkonto på datorn och öppnar RDP-port 3389 på datorn och i brandväggen. RDP kommer troligen att öppnas för att senare komma åt den infekterade datorn via den skapade Windows användarkonto.
Sarwent IP-adresser, MD5-haschar och domäner är kända från Sarwent, dessa uppgifter distribueras till IOCs (Indicators of compromise) för företag att upptäcka Sarwent.