O Gray Sandstorm (anteriormente DEV-0343) realiza utilização de palavra-passe única vasta ao emular um browser Firefox e utilizar IP alojados numa rede proxy Tor. Normalmente, visam dezenas a centenas de contas numa organização, dependendo do tamanho, e enumeram cada conta entre dezenas e milhares de vezes. Em média, entre 150 e mais de 1000 endereços IP de proxy Tor únicos são utilizados em ataques contra cada organização.

Os operadores do Gray Sandstorm visam normalmente dois pontos finais do Exchange, Autodiscover e ActiveSync, como funcionalidade da ferramenta de enumeração/utilização de palavra-passe única que utilizam. Isto permite ao Gray Sandstorm validar contas e palavras-passe ativas e refinar mais a atividade de utilização de palavra-passe única.