Skupina Gray Sandstorm (prej DEV-0343) izvaja obsežno razprševanje gesel, pri čemer posnema brskalnik Firefox in uporablja IP-je, ki gostujejo v posredniškem omrežju Tor. Običajno so usmerjeni na več deset do več sto računov v organizaciji, odvisno od njene velikosti, in vsak račun oštevilčijo od desetkrat do tisočkrat. V povprečju je v napadih na posamezno organizacijo uporabljenih od 150 do več kot 1000 edinstvenih IP naslovov posrednika Tor.

Operaterji skupine Gray Sandstorm običajno ciljajo na dve končni točki Exchange – Autodiscover in ActiveSync – kot funkcijo orodja za oštevilčevanje/razprševanje gesel, ki ga uporabljajo. Tako lahko skupina Gray Sandstorm potrdi aktivne račune in gesla ter dodatno izboljša svojo dejavnost razprševanja gesel.