การตรวจสอบความปลอดภัยพบมัลแวร์ที่เปิดพอร์ตเดสก์ท็อประยะไกลบนไฟร์วอลล์ มีการตั้งค่าพอร์ต RDP (เดสก์ท็อประยะไกล) ซึ่งช่วยให้ผู้โจมตีใช้พอร์ต RDP ในทางที่ผิดได้ง่ายขึ้นในภายหลัง
มัลแวร์ Sarwent มีการใช้งานมาตั้งแต่ปี 2018 ในช่วงต้นปี 2020 Vitali Kwemez ส่งทวีตเกี่ยวกับมัลแวร์ Sarwent แต่มีข้อมูลเพียงเล็กน้อยเกี่ยวกับมัลแวร์ Sarwent บนอินเทอร์เน็ต
วิธีการที่มัลแวร์ Sarwent แพร่กระจายนั้นยังไม่เป็นที่ทราบแน่ชัด เป็นที่สงสัยว่า Sarwent แพร่กระจายผ่านมัลแวร์อื่น ๆ ซึ่งอาจอยู่ในบ็อตเน็ต
สิ่งที่ทราบเกี่ยวกับ Sarwent คือหลังจากติดไวรัสมัลแวร์จะสร้างใหม่ Windows บัญชีผู้ใช้บนคอมพิวเตอร์และเปิดพอร์ต RDP 3389 บนคอมพิวเตอร์และในไฟร์วอลล์ ส่วนใหญ่จะเปิด RDP เพื่อเข้าถึงคอมพิวเตอร์ที่ติดไวรัสผ่านไฟล์ที่สร้างขึ้นในภายหลัง Windows บัญชีผู้ใช้.
Sarwent ที่อยู่ IP, แฮช MD5 และโดเมนเป็นที่รู้จักจาก Sarwent รายละเอียดเหล่านี้ถูกแจกจ่ายไปยัง IOC (ตัวบ่งชี้การประนีประนอม) เพื่อให้บริษัทตรวจพบ Sarwent