Gray Sandstorm (旧称 DEV-0343) は、Firefox ブラウザーに偽装し、Tor プロキシ ネットワーク上にホストされた IP を使用して、広範なパスワード スプレー攻撃を実行します。多くの場合、組織の規模に応じて数十から数百のアカウントを標的として、各アカウントに、数十回から数千回以上にわたってアクセスを試みます。1 つの組織への攻撃に、一意の Tor プロキシ IP アドレスを平均 150 個から 1,000 個以上使用します。

Gray Sandstorm のオペレーターは、採用している列挙/パスワード スプレー ツールの機能を利用して、通常、2 つの Exchange エンドポイント (自動検出と ActiveSync) を標的にします。これによってアクティブなアカウントとパスワードを検証し、パスワード スプレー活動のさらなる絞り込みを可能にしています。