O ator que a Microsoft monitora como Mint Sandstorm (PHOSPHORUS) é um grupo de atividades vinculado ao Irã, ativo desde pelo menos 2013. Mint Sandstorm (PHOSPHORUS) é conhecido por visar principalmente dissidentes que protestam contra o governo iraniano, além de líderes ativistas, a base industrial de defesa, jornalistas, think tanks, universidades e diversas agências e serviços governamentais, incluindo alvos em Israel e nos Estados Unidos. Mint Sandstorm (PHOSPHORUS) se concentra em espionagem. Esse ator é conhecido por obter acesso inicial desde a exploração em larga escala de dispositivos de acesso remoto até campanhas de spear phishing. Mint Sandstorm (PHOSPHORUS) também utiliza colheita de credenciais para acessar contas de trabalho oficiais e contas pessoais. Já foram observadas ferramentas que incluem malware comum, como ladrões de informações. O grupo também foi observado desenvolvendo malwares personalizados, incluindo seus documentos de phishing que usam injeção de modelo para carregar conteúdo malicioso. Mint Sandstorm (PHOSPHORUS) também realizou ataques de ransomware contra várias organizações. A Microsoft associou tais campanhas de ransomware ao Storm-0270 (DEV-0270), um subgrupo do Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) é monitorado por outras empresas de segurança como Charming Kitten e APT35. A Mandiant se refere ao moderno Mint Sandstorm (PHOSPHORUS) como APT42.