Źródło zagrożenia śledzone przez firmę Microsoft pod nazwą Mint Sandstorm (PHOSPHORUS) jest grupą aktywności powiązaną z Iranem działającą co najmniej od 2013 r. Działania grupy Mint Sandstorm (PHOSPHORUS) są wycelowane przede wszystkim w dysydentów protestujących przeciw irańskiemu rządowi, jak również liderów organizacji aktywistycznych, bazę przemysłową sektora obronnego, dziennikarzy, ośrodki analityczne, uniwersytety i liczne agencje i usługi rządowe między innymi w Izraelu i Stanach Zjednoczonych. Grupa Mint Sandstorm (PHOSPHORUS) skupia się na szpiegostwie. Wiadomo, że uzyskuje początkowy dostęp, wykorzystując na szeroką skalę luki urządzeń zdalnego dostępu i przeprowadzając kampanie spersonalizowanego wyłudzania informacji. Grupa Mint Sandstorm (PHOSPHORUS) stosuje też pozyskiwanie poświadczeń, aby uzyskać dostęp do oficjalnych kont służbowych oraz osobistych. Do odnotowanych wcześniej narzędzi należy złośliwe oprogramowanie produktów typu infostealer. Zauważono też, że źródło zagrożenia tworzy niestandardowe złośliwe oprogramowanie, w tym dokumenty wyłudzające informacje, które ładują złośliwą zawartość przez wprowadzenie szablonu. Grupa Mint Sandstorm (PHOSPHORUS) przeprowadziła też ataki z użyciem oprogramowania wymuszającego okup w stosunku do wielu organizacji. Firma Microsoft wiąże takie kampanie z użyciem oprogramowania ransomware z podgrupą źródła zagrożenia Mint Sandstorm (PHOSPHORUS) — Storm 0270 (DEV-0270). Grupa Mint Sandstorm (PHOSPHORUS) jest również monitorowana przez inne firmy zajmujące się zabezpieczeniami pod nazwą Charming Kitten i APT35. Firma Mandiant określa współczesną grupę Mint Sandstorm (PHOSPHORUS) jako APT42.