Gray Sandstorm (tidligere DEV-0343) gjennomfører omfattende passordspraying ved å emulere en Firefox-nettleser og bruke IP-er driftet på et Tor-proxynettverk. De retter seg vanligvis etter hundrevis av kontoer i en organisasjon, avhengig av størrelsen, og lister opp hver konto fra dusinvis til tusenvis av ganger. Gjennomsnittlig brukes mellom 150 og 1000+ unike Tor-proxy IP-adresser i angrep mot hver organisasjon.

Gray Sandstorm-operatører retter seg vanligvis mot to Exchange-endepunkter – Autosøk og ActiveSync – som en funksjon ved opplistings/passordsprayverktøyet de bruker. Dette gjør at Gray Sandstorm kan bekrefte aktive kontoer og passord og begrense passordsprayaktiviteten ytterligere.