El actor que Microsoft rastrea como Mint Sandstorm (PHOSPHORUS) es un grupo de actividades afiliado a Irán que está activo desde al menos 2013. Mint Sandstorm (PHOSPHORUS) es conocido por dirigir sus actividades principalmente contra disidentes que protestan contra el gobierno iraní, así como contra líderes activistas, la base industrial de defensa, periodistas, grupos de reflexión, universidades, y múltiples agencias y servicios gubernamentales, con objetivos en Israel y Estados Unidos. Mint Sandstorm (PHOSPHORUS) se centra en el espionaje. El actor es conocido por obtener el acceso inicial utilizando desde la explotación a gran escala de dispositivos de acceso remoto hasta campañas de phishing de objetivo definido. Mint Sandstorm (PHOSPHORUS) también utiliza el robo de credenciales para obtener acceso a cuentas profesionales oficiales, así como a cuentas personales. Las herramientas anteriores observadas incluyen el malware como producto, por ejemplo, ladrones de información. También se ha observado que el actor ha desarrollado malware personalizado, por ejemplo, documentos de phishing que utilizan la inyección de plantillas para cargar contenido malintencionado. Mint Sandstorm (PHOSPHORUS) también ha ejecutado ataques de ransomware contra múltiples organizaciones. Microsoft ha vinculado dichas campañas de ransomware a Storm-0270 (DEV-0270), un subgrupo de Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) está siendo rastreado por otras compañías de seguridad como Charming Kitten y APT35. Mandiant llama APT42 al Mint Sandstorm (PHOSPHORUS) actual.