Microsoftin nimellä Mint Sandstorm (PHOSPHORUS) seuraama toimija on Iraniin yhdistetty toimintaryhmä, joka on ollut aktiivinen vähintään vuodesta 2013. Mint Sandstorm (PHOSPHORUS) tunnetaan siitä, että se kohdistaa hyökkäyksiä pääasiassa Iranin hallintoa protestoiviin toisinajattelijoihin sekä aktivistijohtajiin, puolustusteollisuuteen, toimittajiin, ajatushautomoihin, yliopistoihin sekä useisiin valtionhallintojen tahoihin ja palveluihin, mukaan lukien kohteet Israelissa ja Yhdysvalloissa. Mint Sandstorm (PHOSPHORUS) keskittyy vakoiluun. Toimija tunnetaan siitä, että se hankkii ensimmäisen käyttöoikeuden laajasta etäkäyttölaitteiden hyödyntämisestä ja kohdennetun verkkourkinnan kampanjoista. Mint Sandstorm (PHOSPHORUS) käyttää myös tunnistetietojen keräämistä käyttöoikeuden saamiseksi virallisiin työtileihin ja henkilökohtaisiin tileihin. Aiempiin havaittuihin työkaluihin kuuluvat kaupallistetut haittaohjelmat, kuten tietojen kaappaajat. Toimijan on havaittu myös kehittävän mukautettuja haittaohjelmia, kuten tietojen kalasteluasiakirjoja, jotka lataavat haitallista sisältöä hyödyntämällä mallien lisäystä. Mint Sandstorm (PHOSPHORUS) on myös suorittanut kiristysohjelmahyökkäyksiä useita organisaatioita vastaan. Microsoft on yhdistänyt tällaiset kiristysohjelmakampanjat Storm-0270:aan (DEV-0270), Mint Sandstormin (PHOSPHORUS) alaryhmään. Mint Sandstormia (PHOSPHORUS) seurataan muissa tietoturvayrityksissä nimillä Charming Kitten ja APT35. Mandiant viittaa nykypäivän Mint Sandstormiin (PHOSPHORUS) nimellä APT42.