L'attore che Microsoft traccia come Mint Sandstorm (PHOSPHORUS) è un gruppo di attività affiliato all'Iran, operativo almeno dal 2013. Mint Sandstorm (PHOSPHORUS) è noto per colpire principalmente i dissidenti che protestano contro il governo iraniano, ma anche leader di attivisti, la base industriale della difesa, i giornalisti, i think tank, le università e numerosi enti e servizi pubblici, tra cui target in Israele e Stati Uniti. Mint Sandstorm (PHOSPHORUS) si concentra sullo spionaggio. L'attore è noto per ottenere l'accesso iniziale da una violazione su larga scala dei dispositivi di accesso remoto in campagne di spear-phishing. Inoltre, Mint Sandstorm (PHOSPHORUS) usa la raccolta di credenziali per accedere ad account aziendali ufficiali e account personali. Tra gli strumenti che ha usato in passato ci sono i commodity malware, come gli info-stealer. L'attore sviluppa anche malware personalizzato, includendo i documenti di phishing che utilizzano l'inserimento di modelli per caricare contenuti dannosi. Mint Sandstorm (PHOSPHORUS) ha condotto anche attacchi ransomware contro molte organizzazioni. Microsoft ha collegato tali campagne ransomware a Storm-0270 (DEV-0270), un sottogruppo di Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) è tracciato da altre società di sicurezza come Charming Kitten e APT35. Mandiant si riferisce all'attuale Mint Sandstorm (PHOSPHORUS) con APT42.