Gray Sandstorm (prije poznat kao DEV-0343) provodi opsežne napade raspršivanjem lozinke emuliranjem preglednika Firefox i korištenjem IP-jeva hostiranih na Tor proxy mrežu. Meta su im obično deseci do stotine računa unutar neke organizacije, ovisno o veličini, i popisuju svaki račun od deset do tisuću puta. U prosjeku se koristi između 150 i više od 1000 jedinstvenih Tor proxy IP adresa u napadima protiv svake organizacije.

Gray Sandstorm operatorima obična su meta Exchange krajnje točke – Automatsko otkrivanje i ActiveSync – kao i značajka alata popisivanja/raspršivanja lozinke koji koriste. To omogućava grupi Gray Sandstorm da potvrdi aktivne račune i lozinke i nadalje preciziraju svoju aktivnost raspršivanja lozinki.