Gray Sandstorm (dříve DEV-0343) provádí rozsáhlé sprejování hesel, přičemž napodobuje prohlížeč Firefox a používá IP adresy hostované v proxy síti Tor. Obvykle se zaměřuje na desítky až stovky účtů v rámci organizace (v závislosti na její velikosti) a na každý účet podnikne desítky až tisíce útoků. Při útocích na každou organizaci v průměru použije 150 nebo až více než 1000 unikátních IP adres proxy serverů Tor.

Operátoři hrozby Gray Sandstorm se obvykle zaměřují na dva koncové body Exchange – Automatickou konfiguraci a ActiveSync – a používají je pro účely svého nástroje pro útočení nebo sprejování hesel. Gray Sandstorm tak může ověřovat aktivní účty a hesla a dále zpřesňovat svou činnost při sprejování hesel.