Gray Sandstorm (преди DEV-0343) извършва мащабно разпръскване на пароли като емулира браузъра Firefox и използва IP адреси, хоствани в прокси мрежа Tor. Обикновено те се насочват към десетки до стотици акаунти в една организация, в зависимост от нейния размер, и изброяват всеки акаунт от десетки до хиляди пъти. Средно между 150 и над 1000 уникални IP адреса на прокси сървъри на Tor се използват при атаки срещу всяка организация.

Атакуващите с Gray Sandstorm обикновено се насочват към две крайни точки на Exchange – Autodiscover и ActiveSync – като функция на използвания от тях инструмент за изброяване/разпръскване на пароли. Това позволява на Gray Sandstorm да проверява активните акаунти и пароли и да усъвършенства допълнително дейността си по пръскане на пароли.