Pelaku yang dilacak oleh Microsoft sebagai Mint Sandstorm (PHOSPHORUS) adalah grup aktivitas yang terafiliasi dengan Iran dan telah aktif setidaknya sejak tahun 2013. Mint Sandstorm (PHOSPHORUS) diketahui menitikberatkan target mereka pada para pembangkang yang memprotes pemerintah Iran, dan juga para pemimpin aktivis, basis industri pertahanan, jurnalis, wadah pemikir, universitas, serta sejumlah layanan dan lembaga pemerintah, termasuk target di Israel dan Amerika Serikat. Mint Sandstorm (PHOSPHORUS) berfokus pada spionase. Pelaku diketahui memperoleh akses awal yang berasal mulai dari eksploitasi perangkat akses jarak jauh berskala luas hingga kampanye spear-phishing. Mint Sandstorm (PHOSPHORUS) juga menggunakan panen kredensial untuk memperoleh akses ke akun kerja resmi serta akun pribadi. Alat yang terpantau digunakan sebelumnya meliputi program jahat komoditas, seperti pencuri informasi. Pelaku juga telah terpantau mengembangkan program jahat kustom, termasuk dokumen pengelabuan yang menggunakan injeksi templat untuk memuat konten berbahaya. Mint Sandstorm (PHOSPHORUS) juga melancarkan serangan ransomware terhadap sejumlah organisasi. Microsoft telah menarik keterkaitan antara kampanye ransomware tersebut dengan Storm-0270 (DEV-0270), sebuah sub-grup dari Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) dilacak oleh perusahaan keamanan lain sebagai Charming Kitten dan APT35. Mandiant menjuluki Mint Sandstorm (PHOSPHORUS) di era modern dengan nama APT42.