De actor die Microsoft bijhoudt als Mint Sandstorm (PHOSPHORUS) is een aan Iran gerelateerde activiteitengroep die sinds minstens 2013 actief is. Het is bekend dat Mint Sandstorm (PHOSPHORUS) voornamelijk dissidenten aanvalt die protesteren tegen de Iraanse overheid. De groep voert ook aanvallen uit op activistenleiders, de industriële defensiebasis, journalisten, denktanks, universiteiten en meerdere overheidsinstanties en -services, inclusief doelwitten in Israël en de Verenigde Staten. Mint Sandstorm (PHOSPHORUS) is gefocust op spionage. Het is bekend dat de actor initiële toegang verkrijgt via de breedschalige exploitatie van apparaten met externe toegang en via campagnes met spear phishing. Mint Sandstorm (PHOSPHORUS) gebruikt ook het verzamelen van referenties om toegang te verkrijgen tot officiële werkaccounts en persoonlijke accounts. Eerder is waargenomen dat ze algemene malware gebruiken als hulpmiddel, bijvoorbeeld malware die informatie steelt. Er is ook waargenomen dat de actor aangepaste malware ontwikkelt, inclusief phishing-documenten met sjablooninjectie om kwaadaardige inhoud te laden. Mint Sandstorm (PHOSPHORUS) heeft ook ransomware-aanvallen uitgevoerd tegen meerdere organisaties. Microsoft heeft deze campagnes met ransomware gekoppeld aan Storm-0270 (DEV-0270), een subgroep van Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) wordt door andere beveiligingsbedrijven bijgehouden als Charming Kitten en APT35. Mandiant verwijst met APT42 naar het huidige Mint Sandstorm (PHOSPHORUS).