Gray Sandstorm(이전 DEV-0343)은 Firefox 브라우저를 에뮬레이션하고 Tor 프록시 네트워크에서 호스트되는 IP를 사용하여 광범위한 암호 스프레이 공격을 실시합니다. 일반적으로 규모에 따라 조직 내 수십에서 수백 개의 계정을 표적으로 삼으며 각 계정을 수십에서 수천 번 열거합니다. 평균적으로 각 조직을 대상으로 한 공격에서 150~1,000개 이상의 고유한 Tor 프록시 IP 주소가 사용됩니다.

Gray Sandstorm 공격자들은 일반적으로 두 개의 Exchange 엔드포인트(자동 검색 및 ActiveSync)를 대상으로 하여 자신들이 사용하는 열거/암호 스프레이 도구의 기능으로 사용합니다. 이를 통해 Gray Sandstorm은 활성 계정과 암호의 유효성을 확인하고 암호 스프레이 활동을 더욱 세밀하게 구성할 수 있습니다.