Gray Sandstorm (anterior DEV-0343) efectuează ample atacuri de tip spray asupra parolelor, emulând un browser Firefox și utilizând IP-uri găzduite pe o rețea proxy Tor. De obicei, vizează între câteva zeci și sute de conturi din cadrul unei organizații, în funcție de mărimea acesteia, și enumeră fiecare cont de zeci sau mii de ori. În medie, între 150 și peste 1.000 de adrese IP proxy Tor unice sunt utilizate în atacurile lansate împotriva fiecărei organizații.

Operatorii Gray Sandstorm vizează de obicei două puncte finale Exchange – Autodiscover și ActiveSync – ca o caracteristică a instrumentului de enumerare/lansare de atacuri de tip spray asupra parolelor pe care îl utilizează. Acest lucru le permite celor de la Gray Sandstorm să valideze conturile și parolele active și să-și rafineze în continuare atacurile de tip spray asupra parolelor.