Gray Sandstorm (varasema koodnimega DEV-0343) korraldab ulatuslikke paroolisimultaane, jäljendades Firefoxi brauserit ja kasutades Tori puhverserverite võrgus majutatud IP-sid. Enamasti sihivad nad ühes organisatsioonis kümneid kuni sadu kontosid (olenevalt asutuse või ettevõtte suurusest) ja teevad igale kontole kümneid kuni tuhandeid päringuid. Keskmiselt kasutatakse iga organisatsiooni ründamisel 150 kuni 1000+ kordumatut Tori puhverserveri IP-aadressi.

Gray Sandstormi operaatorid sihivad kasutatava päringu-/paroolisimultaanitööriista spetsiifilise talitluse tõttu enamasti kahte Exchange’i lõpp-punkti – automaattuvastust ja ActiveSynci. See võimaldab Gray Sandstormil aktiivsed kontod ja paroolid kinnitada ning paroolisimultaani tegevust täpsemalt piiritleda.