A Gray Sandstorm (korábban DEV-0343) kiterjedt szórásos jelszófeltörési tevékenységet végez a Firefox böngészőt emulálva és egy Tor-proxyhálózaton található IP-címeket használva. Egy szervezeten belül a mérettől függően jellemzően több tucat vagy több száz fiókot vesznek célba, és minden egyes fiókot több tucat vagy több ezer alkalommal enumerálnak. Minden szervezet ellen átlagosan 150 és több mint 1000 közötti egyedi Tor-proxyn található IP-címet használnak a támadások során.

A Gray Sandstorm üzemeltetői az általuk használt enumerálási/szórásos jelszófeltörési eszköz funkciójaként általában két Exchange végpontot, az Autodiscovert és az ActiveSyncet veszik célba. Ez lehetővé teszi a Gray Sandstorm számára, hogy ellenőrizze az aktív fiókok és a jelszavak érvényességét, és hogy tovább finomítsa a szórásos jelszófeltöréses tevékenységét.