Gray Sandstorm (trước đây là DEV-0343) tiến hành tấn công lần dò mật khẩu quy mô lớn mô phỏng trình duyệt Firefox và sử dụng IP được lưu trữ trên mạng proxy Tor. Chúng thường nhắm mục tiêu tới hàng chục đến hàng trăm tài khoản trong một tổ chức tùy thuộc quy mô của tổ chức, và liệt kê dữ liệu mỗi tài khoản từ hàng chục đến hàng nghìn lần. Trung bình, chúng sử dụng từ 150 đến hơn 1.000 địa chỉ IP proxy Tor duy nhất trong các cuộc tấn công nhằm vào mỗi tổ chức.

Những kẻ tấn công Gray Sandstorm thường nhắm mục tiêu hai điểm cuối của Exchange - Tự động phát hiện và ActiveSync - làm tính năng của công cụ liệt kê dữ liệu/lần dò mật khẩu mà chúng sử dụng. Điều này cho phép Gray Sandstorm xác thực các tài khoản đang hoạt động và mật khẩu, đồng thời tinh chỉnh thêm hoạt động dò mật khẩu của chúng.