Извършителят, който се проследява от Microsoft като Mint Sandstorm (PHOSPHORUS), е действаща група, свързана с Иран, активна поне от 2013 г. Известно е, че Mint Sandstorm (PHOSPHORUS) е насочена предимно към дисиденти, протестиращи срещу иранското правителство, както и към лидери на активисти, отбранителната индустриална база, журналисти, мозъчни тръстове, университети и множество правителствени агенции и служби, включително цели в Израел и Съединените щати. Mint Sandstorm (PHOSPHORUS) се фокусира върху шпионаж. Известно е, че този извършител получава първоначален достъп чрез широкомащабна експлоатация на устройства за отдалечен достъп и кампании за насочен фишинг. Mint Sandstorm (PHOSPHORUS) също така използва събиране на идентификационни данни, за да получава достъп до официални работни акаунти, както и до лични акаунти. Предишните наблюдавани инструменти включват зловреден софтуер за стоки, например програми за кражба на информация. Наблюдавани са и случаи на разработване на зловреден потребителски софтуер, включително документи за фишинг, които използват инжектиране на шаблони за зареждане на зловредно съдържание. Освен това Mint Sandstorm (PHOSPHORUS) също е извършила атаки с рансъмуер срещу множество организации. Microsoft свързва подобни кампании за рансъмуер с Storm-0270 (DEV-0270), подгрупа на Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) се проследява от други компании за защита като Charming Kitten и APT35. Mandiant нарича съвременния Mint Sandstorm (PHOSPHORUS) APT42.