Veikėjas, kurį „Microsoft“ stebi kaip „Mint Sandstorm“ (PHOSPHORUS), yra su Iranu susijusi veiklų grupė, veikianti bent nuo 2013 metų. Yra žinoma, kad „Mint Sandstorm“ (PHOSPHORUS) pirmiausia taikosi į disidentus, protestuojančius prieš Irano vyriausybę, taip pat į aktyvistų lyderius, gynybos pramonės bazę, žurnalistus, analitikos centrus, universitetus, įvairias vyriausybines agentūras ir tarnybas, įskaitant taikinius Izraelyje ir Jungtinėse Valstijose. „Mint Sandstorm“ (PHOSPHORUS) daugiausia dėmesio skiria šnipinėjimui. Yra žinoma, kad veikėjas pirminę prieigą įgyja iš plataus masto nuotolinės prieigos įrenginių panaudojimo ir tikslinio sukčiavimo apsimetant kampanijų. „Mint Sandstorm“ (PHOSPHORUS) taip pat naudoja kredencialų rinkimą, kad gautų prieigą prie oficialių darbinių ir asmeninių paskyrų. Anksčiau naudoti įrankiai pastebėjo kenkėjiškas programas, pavyzdžiui, informacijos vagis. Be to, pastebėta, kad šis veikėjas kuria pritaikytą kenkėjišką programinę įrangą, įskaitant jo sukčiavimo dokumentus, kuriuose kenkėjiškam turiniui įkelti naudojama šablonų injekcija. „Mint Sandstorm“ (PHOSPHORUS) taip pat vykdo išpirkos reikalaujančių programų atakas, nukreiptas prieš kelias organizacijas. „Microsoft“ šias išpirkos reikalaujančių programų atakas susiejo su „Storm-0270“ (DEV-0270) – antrine „Mint Sandstorm“ (PHOSPHORUS) grupe. „Mint Sandstorm“ (PHOSPHORUS) kitos saugos kompanijos seka kaip „Charming Kitten“ ir APT35“. „Mandiant“ šių dienų „Mint Sandstorm“ (PHOSPHORUS) vadina APT42.