Gray Sandstorm (колишня назва –DEV-0343) широко застосовує розпорошувальні атаки через типові паролі, імітуючи браузер Firefox і використовуючи IP-адреси, збережені в проксі-сервери мережі Tor. Ці хакери зазвичай націлені на десятки або сотні облікових записів в організації (залежно від її розміру), і використовують кожен обліковий запис для підбору від десятків до тисяч разів. Для атаки проти однієї організації використовується в середньому від 150 до понад 1000 унікальних IP-адрес проксі-серверів Tor.

Хакери Gray Sandstorm зазвичай націлені на дві кінцеві точки Exchange – службу автовизначення конфігурації сервера та протокол безпроводової синхронізації Exchange ActiveSync – як на інструменти для своїх розпорошувальних атак або підбору паролів. Завдяки цим методам Gray Sandstorm перевіряє активні облікові записи й паролі та вдосконалює техніку розпорошувальних атак.