Gray Sandstorm (predtým DEV-0343) vykonáva rozsiahle útoky sprejovania hesiel, pri ktorých imituje prehliadač Firefox a používa IP adresy hosťované v proxy sieti Tor. Táto skupina sa zvyčajne zameriava na desiatky až stovky kont v rámci organizácie (v závislosti od jej veľkosti) a každé konto uvedie niekoľko desiatok až tisíckrát. Pri útokoch na jednotlivé organizácie sa používa v priemere 150 až viac ako 1 000 jedinečných IP adries proxy siete Tor.

Členovia skupiny Gray Sandstorm sa zvyčajne zameriavajú na dva koncové body Exchangeu (Automatickú konfiguráciu a ActiveSync) ako súčasť nástroja na uvádzanie alebo sprejovanie hesiel, ktorý používajú. To skupine Gray Sandstorm umožňuje overovať aktívne kontá a heslá a ďalej zdokonaľovať svoju aktivitu sprejovania hesiel.