Gray Sandstorm (in precedenza DEV-0343) conduce attacchi di password spraying estesi che emulano un browser Firefox e usano IP ospitati su una rete proxy Tor. Generalmente colpiscono da decine a centinaia di account in un'organizzazione, a seconda delle dimensioni ed enumerano ogni account da decine a migliaia di volte. In media, negli attacchi contro ogni organizzazione vengono usati tra i 150 e gli oltre 1000 indirizzi IP proxy unici.
Gli operatori Gray Sandstorm in genere colpiscono due endpoint Exchange: Autodiscover e ActiveSync, come funzionalità dello strumento di enumerazione/password spraying che usano. Ciò consente a Gray Sandstorm di convalidare gli account e le password attivi e di perfezionare ulteriormente la propria attività di password spraying.