Aktøren som Microsoft følger som Mint Sandstorm (PHOSPHORUS) er en Iran-tilknyttet aktivitetsgruppe, som har vært aktiv siden 2013. Mint Sandstorm (PHOSPHORUS) er kjent for å primært rette seg mot fritenkere som protesterer mot iranske myndigheter, samt aktivistledere, den industrielle basen til forsvaret, journalister, tenketanker, universiteter og flere offentlige etater og tjenester, inkludert mål i Israel og USA. Mint Sandstorm (PHOSPHORUS) fokuserer på spionasje. Aktøren er kjent for å oppnå førstegangs tilgang fra bred utnyttelse av enheter med ekstern tilgang til målrettet phishing-kampanjer. Mint Sandstorm (PHOSPHORUS) bruker også innhøsting av legitimasjon for å oppnå tilgang til offisielle jobbkontoer samt personlige kontoer. Tidligere observerte verktøy inkluderer handelsprogramvare, slik som informasjonstyver. Aktøren er også observert å utvikle tilpasset skadelig programvare, inkludert phishing-dokumenter som bruker malinjeksjon for å laste inn skadelig innhold. Mint Sandstorm (PHOSPHORUS) har også gjennomført angrep med løsepengevirus mot en rekke organisasjoner. Microsoft har knyttet slike kampanjer med løsepengevirus til Storm-0270 (DEV-0270), en undergruppe av Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) følges av andre sikkerhetsselskaper slik som Charming Kitten og APT35. Mandiant henviser til den moderne Mint Sandstorm (PHOSPHORUS) som APT42.