Các cuộc điều tra bảo mật đã tìm thấy phần mềm độc hại mở cổng Máy tính từ xa trên tường lửa. Các cổng RDP (Máy tính từ xa) được thiết lập, điều này làm cho những kẻ tấn công dễ dàng lạm dụng các cổng RDP sau này.
Phần mềm độc hại Sarwent đã được sử dụng từ năm 2018. Vào đầu năm 2020, Vitali Kwemez đã gửi một tweet về phần mềm độc hại Sarwent nhưng có rất ít thông tin về phần mềm độc hại Sarwent trên internet.
Cách thức lây lan của phần mềm độc hại Sarwent không hoàn toàn được biết đến; người ta nghi ngờ rằng Sarwent đã lây lan qua phần mềm độc hại khác, có thể trong mạng botnet.
Những gì được biết về Sarwent là sau khi lây nhiễm phần mềm độc hại sẽ tạo ra một Windows tài khoản người dùng trên máy tính và mở cổng RDP 3389 trên máy tính và trong Tường lửa. RDP rất có thể sẽ được mở để sau này có thể truy cập vào máy tính bị nhiễm thông qua Windows tài khoản người dùng.
Địa chỉ IP Sarwent, mã băm MD5 và tên miền được biết đến từ Sarwent, những chi tiết này được phân phối tới IOC (Chỉ báo thỏa hiệp) để các công ty phát hiện Sarwent.