Gray Sandstorm (anciennement DEV-0343), mène de larges opérations de pulvérisations de mots de passe en imitant un navigateur Firefox et en utilisant des adresses IP hébergées sur un réseau proxy Tor. Il cible généralement des dizaines, voire des centaines de comptes au sein d’une organisation, selon la taille et énumère chaque compte des dizaines, voire des milliers de fois. En moyenne, entre 150 et plus de 1 000 adresses IP uniques du proxy Tor sont utilisées dans des attaques contre chaque organisation.
Les opérateurs Gray Sandstorm ciblent généralement deux points de terminaison Exchange (Autodiscover et ActiveSync) comme fonctionnalité de l’outil d’énumération et de pulvérisation de mots de passe qu’ils utilisent. Cela permet à Gray Sandstorm de valider des comptes et des mots de passe actifs et de perfectionner son activité de pulvérisation de mots de passe.