Grupa Sandstorm (znana wcześniej pod nazwą DEV-0343) przeprowadza szeroko zakrojone ataki rozproszone na hasła, które naśladują działanie przeglądarki Firefox, z adresów IP hostowanych w sieci proxy Tor. Grupa ta atakuje zazwyczaj dziesiątki lub nawet setki kont w organizacji, w zależności od jej rozmiaru, wykonując enumerację każdego konta od kilkudziesięciu do kilku tysięcy razy. Do ataku na każdą z organizacji średnio zaangażowanych jest od 150 do ponad 1000 adresów IP zarejestrowanych w sieci proxy Tor.
Hakerzy z grupy Gray Sandstorm stosują narzędzie enumeracji/ataku rozproszonego na hasła uderzające w dwa punkty końcowe usługi Exchange – Autodiscover i ActiveSync. Pozwala to grupie Gray Sandstorm na weryfikację aktywności kont i haseł dalsze doskonalenie swoich technik ataków rozproszonych.