Den aktør, Microsoft sporer som Mint Sandstorm (PHOSPHORUS), er en Iran-tilknyttet aktivitetsgruppe, der har været aktiv siden mindst 2013. Mint Sandstorm (PHOSPHORUS) er kendt for primært at gå efter dissidenter, der protesterer mod den iranske regering, samt aktivistledere, forsvarsindustrien, journalister, tænketanke, universiteter og flere regeringsorganer og -tjenester, herunder mål i Israel og USA. Mint Sandstorm (PHOSPHORUS) fokuserer på spionage. Aktøren er kendt for at skaffe sig adgang via bred udnyttelse af enheder til fjernadgang eller spydphishing-kampagner. Mint Sandstorm (PHOSPHORUS) bruger også høstning af legitimationsoplysninger til at få adgang til officielle arbejdskonti såvel som personlige konti. Tidligere observerede værktøjer omfatter almindelig malware, såsom informationstyve. Aktøren er også blevet observeret i at udvikle brugerdefineret malware, herunder deres phishing-dokumenter, der bruger injicering i skabeloner til at indlæse skadeligt indhold. Mint Sandstorm (PHOSPHORUS) har også udført ransomware-angreb mod flere organisationer. Microsoft har knyttet sådanne ransomware-kampagner til Storm-0270 (DEV-0270), en undergruppe af Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) er sporet af andre sikkerhedsfirmaer som Charming Kitten og APT35. Mandiant refererer til nutidens Mint Sandstorm (PHOSPHORUS) som APT42.