Uchunguzi wa usalama umegundua programu hasidi ambayo hufungua milango ya Kompyuta ya Mbali kwenye ngome. Bandari za RDP (Desktop ya Mbali) zimesanidiwa, hii hurahisisha wavamizi kutumia vibaya bandari za RDP baadaye.
Programu hasidi ya Sarwent imekuwa ikitumika tangu 2018. Mwanzoni mwa 2020 Vitali Kwemez alituma tweet kuhusu programu hasidi ya Sarwent lakini kuna habari kidogo kuhusu programu hasidi ya Sarwent kwenye mtandao.
Njia ambayo programu hasidi ya Sarwent inasambazwa haijulikani kabisa; inashukiwa kuwa Sarwent inaenezwa kupitia programu hasidi nyingine, ikiwezekana katika roboti.
Kinachojulikana kuhusu Sarwent ni kwamba baada ya kuambukizwa programu hasidi huunda mpya Windows akaunti ya mtumiaji kwenye kompyuta na kufungua bandari ya RDP 3389 kwenye kompyuta na kwenye Firewall. Kuna uwezekano mkubwa wa RDP kufunguliwa ili baadaye kufikia kompyuta iliyoambukizwa kupitia iliyoundwa Windows akaunti ya mtumiaji.
Anwani za IP za Sarwent, heshi za MD5 na vikoa vinajulikana kutoka Sarwent, maelezo haya yanasambazwa kwa IOCs (Viashiria vya maelewano) ili kampuni zitambue Sarwent.