Aktér, kterého Microsoft eviduje jako Mint Sandstorm (PHOSPHORUS), je skupinou aktivit ve spojení s Íránem a je aktivní minimálně od roku 2013. Skupina Mint Sandstorm (PHOSPHORUS) napadá převážně disidenty protestující proti íránské vládě, ale také lídry aktivistů, průmyslovou základnu obrany, novináře, think tanky, univerzity a několik vládních agentur a služeb, včetně cílů v Izraeli a ve Spojených státech. Mint Sandstorm (PHOSPHORUS) se zaměřuje na špionáž. Je známo, že aktér získává prvotní přístup z široko-škálového zneužití zařízení se vzdáleným přístupem a provádí spear-phishingové kampaně. Mint Sandstorm (PHOSPHORUS) také za pomocí sesbíraných referencí získává přístup nejen k oficiálním pracovním účtů, ale i k osobním účtům. Z předchozího sledování nástrojů je znám komoditní malware, jako například zloději informací. Bylo zjištěno, že aktér vyvíjí vlastní malware, včetně vlastních phishingových dokumentů, které používají šablony k načtení škodlivého obsahu. Mint Sandstorm (PHOSPHORUS) provedl také ransomwarové útoky proti několika organizacím. Microsoft tyto ransomwarové kampaně spojil se skupinou Storm-0270 (DEV-0270), podskupinou Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) je dalšími bezpečnostními společnostmi sledován jako Charming Kitten a APT35. Mandiant současnou skupinu Mint Sandstorm (PHOSPHORUS) označuje jako APT42.