„Gray Sandstorm“ (anksčiau – DEV-0343) vykdo platų slaptažodžių bandymą imituodama „Firefox“ naršyklę ir naudodama „Tor“ tarpinio serverio tinkle esančius IP adresus. Priklausomai nuo organizacijos dydžio, jie paprastai atakauoja dešimtis ar šimtus paskyrų ir informaciją apie kiekvieną paskyrą gauna nuo dešimčių iki tūkstančių kartų. Vidutiniškai atakoms prieš kiekvieną organizaciją naudojama nuo 150 iki 1 000 ir daugiau unikalių „Tor“ tarpinio serverio IP adresų.
„Grey Sandstorm“ operatoriai paprastai taiko du „Exchange“ galinius punktus – „Autodiscover“ ir „ActiveSync“ – kaip informacijos gavimo / slaptažodžio bandymo įrankio funkciją. Tai leidžia „Grey Sandstorm“ patvirtinti aktyvias paskyras ir slaptažodžius bei toliau tobulinti slaptažodžių bandymo veiklą.