Microsoftが Mint Sandstorm (PHOSPHORUS) と呼んで追跡しているアクターは、イランと関係がある活動グループであり、少なくとも 2013 年から活動しています。Mint Sandstorm (PHOSPHORUS) は、イラン政府に異を唱える反体制派を主な標的にしているほか、活動家のリーダー、防衛産業基盤、ジャーナリスト、シンクタンク、大学、複数の政府機関やサービス (イスラエル、米国を含む) を狙うアクターです。Mint Sandstorm (PHOSPHORUS) の行動の主眼はスパイ活動です。リモート アクセス デバイスを幅広く大規模に悪用してスピア フィッシング キャンペーンを実行し、それによって初期アクセスを得る手口が知られています。また、資格情報ハーベスティングの手法で業務の公式アカウントや個人アカウントへのアクセスを得る行動も見られます。これまでに観測された使用ツールには、インフォスティーラーなどの既製品マルウェアが含まれる一方、カスタム マルウェアとして、テンプレート インジェクションの手法で悪意あるコンテンツを読み込むフィッシング文書などを開発する動きも観測されています。さらに、Mint Sandstorm (PHOSPHORUS) は複数の組織へのランサムウェア攻撃も実施しました。Microsoft では、それらのランサムウェア キャンペーンは Mint Sandstorm (PHOSPHORUS) の下部グループである Storm-0270 (DEV-0270) によるものと認識しています。他のセキュリティ会社は、Mint Sandstorm (PHOSPHORUS) を Charming Kitten および APT35 と呼んで追跡しています。Mandiant は、Mint Sandstorm (PHOSPHORUS) の最新の活動形態を APT42 と呼んでいます。