May nakitang malware ang mga pagsisiyasat sa seguridad na nagbubukas ng mga Remote desktop port sa firewall. Naka-set up ang mga RDP (Remote desktop) port, ginagawa nitong mas madali para sa mga umaatake na abusuhin ang mga RDP port sa susunod.
Ginagamit na ang Sarwent malware mula noong 2018. Sa simula ng 2020 nagpadala si Vitali Kwemez ng tweet tungkol sa Sarwent malware ngunit kakaunti ang impormasyon tungkol sa Sarwent malware sa internet.
Ang paraan kung saan ang Sarwent malware ay kumakalat ay hindi lubos na kilala; pinaghihinalaang kumakalat si Sarwent sa pamamagitan ng iba pang malware, posibleng sa mga botnet.
Ang alam tungkol kay Sarwent ay na pagkatapos ng impeksyon ang malware ay lumilikha ng bago Windows user account sa computer at binubuksan ang RDP port 3389 sa computer at sa Firewall. Malamang na bubuksan ang RDP upang ma-access sa ibang pagkakataon ang nahawaang computer sa pamamagitan ng ginawa Windows account ng gumagamit.
Ang mga Sarwent IP address, MD5 hash, at mga domain ay kilala mula sa Sarwent, ang mga detalyeng ito ay ipinamamahagi sa mga IOC (Mga Tagapagpahiwatig ng kompromiso) para matukoy ng mga kumpanya si Sarwent.