يجري Gray Sandstorm (المعروف سابقًا باسم DEV-0343) عملية رش واسعة النطاق لكلمات المرور لمحاكاة متصفح Firefox واستخدام عناوين IP المستضافة على شبكة وكيل Tor. وعادةً ما يستهدفون عشرات إلى مئات الحسابات داخل المؤسسة، اعتمادًا على الحجم، ويقومون بتعداد كل حساب من عشرات إلى آلاف المرات. في المتوسط، يتم استخدام ما بين 150 إلى 1000+ عنوان IP فريد لوكيل Tor في الهجمات ضد كل مؤسسة.

عادةً ما يستهدف مشغلو Gray Sandstorm نقطتي نهاية Exchange – الاكتشاف التلقائي وActiveSync – كميزة لأداة التعداد/رش كلمة المرور التي يستخدمونها. يتيح ذلك لـ Gray Sandstorm التحقق من صحة الحسابات وكلمات المرور النشطة، وتحسين نشاط رش كلمات المرور بشكل أكبر.