Gray Sandstorm (aiemmin DEV-0343) suorittaa laajaa salasanojen levittämistä, joka imitoi Firefox-selainta ja käyttää Tor-välityspalvelimen verkossa isännöitäviä IP-osoitteita. Hyökkäykset kohdistetaan tyypillisesti kymmeniin tai satoihin organisaatiotileihin sen koon mukaan, ja jokainen tili luetteloidaan kymmenistä kerroista tuhansiin kertoihin. Keskimäärin 150–1 000 yksittäistä Tor-välityspalvelimen IP-osoitetta käytetään hyökkäyksissä kutakin organisaatiota vastaan.

Gray Sandstorm -operaattorit kohdistavat hyökkäyksen tyypillisesti kahteen Exchange-päätepisteeseen – Autodiscover ja ActiveSync – heidän käyttämänsä luettelointi- tai salasanatyökalun ominaisuutena. Näin Gray Sandstorm voi vahvistaa aktiiviset tilit ja salasanat ja parantaa siten salasanojen levittämistoimintaansa.