Gray Sandstorm (נקראה בעבר DEV-0343) מבצעת מתקפות password spray נרחבות שמחקות את דפדפן Firefox באמצעות כתובות IP שמתארחות ברשת Tor proxy. הקבוצה בדרך-כלל מציבה כיעד עשרות עד מאות חשבונות בתוך ארגון, בהתאם לגודל ולמניין של כל חשבון, החל מעשרות ועד למאות פעמים. בממוצע, בין 150 ועד מעל 1,000 כתובת IP ייחודיות של Tor proxy נמצאות בשימוש במתקפות נגד כל ארגון.

אופרטורים של Gray Sandstorm בדרך-כלל מציבים כיעד שתי נקודות קצה של Exchange - גילוי אוטומטי ו- AND - כתכונה של כלי מתקפת ה- password spray/מניין שבו הם משתמשים. דרך פעולה זו מאפשרת ל- Gray Sandstorm לאמת חשבונות פעילות וסיסמאות פעילות, ולהמשיך ולמקד את פעילות מתקפת ה- password spray שלה.