Der Bedrohungsakteur Gray Sandstorm (ehemals DEV-0343) führt ein umfangreiches Kennwortspraying durch, indem er einen Firefox-Browser emuliert und IPs verwendet, die in einem Tor-Proxy-Netzwerk gehostet werden. In der Regel zielen sie auf Dutzende bis Hunderte von Konten innerhalb einer Organisation ab, je nach deren Größe, und listen jedes Konto Dutzende bis Tausende Male auf. Im Schnitt werden zwischen 150 und über 1.000 eindeutige Tor-Proxy-IP-Adressen für die Angriffe auf eine Organisation verwendet.

Die Betreiber von Gray Sandstorm nehmen in der Regel zwei Exchange-Endpunkte ins Visier, Autodiscover und ActiveSync, als Bestandteil ihres Auflistungs- und Kennwortspray-Tools. Auf diese Weise kann Gray Sandstorm aktive Konten und Passwörter validieren und sein Kennwortspraying weiter verfeinern.