Gray Sandstorm (tidigare DEV-0343) utför omfattande attacker via lösenordssprayning genom att emulera en Firefox-webbläsare och använda IP-adresser på ett Tor-proxynätverk. De attackerar vanligtvis dussintals till hundratals konton i en organisation, beroende på storlek, och uppräknar varje konto från dussintals till tusentals gånger. I genomsnitt används mellan 150 och över 1 000 unika IP-adresser i ett Tor-proxy-nätverk i attacker mot varje organisation.

Gray Sandstorm-angripare riktar sig vanligtvis mot två Exchange-slutpunkter – Autodiscover och ActiveSync – som funktion i uppräkningen/lösenordsprayningen. På så vis kan Gray Sandstorm validera aktiva konton och lösenord och ytterligare förfina lösenordssprayningen.