Grey Sandstorm (เดิมชื่อ DEV-0343) ดำเนินการกระจายรหัสผ่านออกไปอย่างกว้างขวางเพื่อจำลองเบราว์เซอร์ Firefox และใช้ IP ที่โฮสต์บนเครือข่ายพร็อกซี Tor โดยทั่วไปแล้วจะกำหนดเป้าหมายบัญชีหลายสิบถึงหลายร้อยบัญชีภายในองค์กรหนึ่งๆ ขึ้นอยู่กับขนาด และเน้นที่แต่ละบัญชีตั้งแต่หลายสิบถึงหลายพันครั้ง โดยเฉลี่ยแล้ว จะมีการใช้ที่อยู่ IP พร็อกซี Tor ที่ไม่ซ้ำกันระหว่าง 150 ถึง 1,000+ รายการในการโจมตีแต่ละองค์กร
โดยทั่วไปแล้ว ผู้ดำเนินการ Grey Sandstorm จะกำหนดเป้าหมายปลายทาง Exchange สองจุด ได้แก่ Autodiscover และ ActiveSync ให้เป็นคุณลักษณะของเครื่องมือกระจายการแจงนับ/รหัสผ่านที่พวกเขาใช้ สิ่งนี้ทำให้ Grey Sandstorm สามารถตรวจสอบบัญชีและรหัสผ่านที่ใช้งานอยู่ และปรับแต่งกิจกรรมการกระจายรหัสผ่านเพิ่มเติม