L’acteur que Microsoft suit sous le nom de Mint Sandstorm (PHOSPHORUS) est un groupe d’activités affilié à l’Iran, actif depuis au moins 2013. Mint Sandstorm (PHOSPHORUS) est connu pour cibler principalement les dissidents qui protestent contre le gouvernement iranien, ainsi que les leaders activistes, la base industrielle de la défense, les journalistes, les groupes de réflexion, les universités et de nombreux organismes et services publics, y compris des cibles en Israël et aux États-Unis. Mint Sandstorm (PHOSPHORUS) se concentre sur l’espionnage. L’acteur est connu pour obtenir un accès initial à partir de l’exploitation à grande échelle de dispositifs d’accès à distance pour des campagnes d’hameçonnage ciblé (spear-phishing). Mint Sandstorm (PHOSPHORUS) utilise aussi la collecte des informations d’identification pour obtenir l’accès aux comptes professionnels officiels ainsi qu’aux comptes personnels. Les outils observés précédemment comprennent des logiciels malveillants de base, tels que des voleurs d’informations. L'acteur a également été observé en train de développer des logiciels malveillants personnalisés, y compris leurs documents d’hameçonnage qui utilisent l’injection de modèles pour charger du contenu malveillant. Mint Sandstorm (PHOSPHORUS) a aussi mené des attaques par rançongiciel (ransomware) contre plusieurs organisations. Microsoft a relié ces campagnes de rançongiciels à Storm-0270 (DEV-0270), un sous-groupe de Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) est surveillé par d’autres sociétés de sécurité comme Charming Kitten et APT35. Mandiant désigne Mint Sandstorm (PHOSPHORUS) actuel sous le nom APT42.