O ator que a Microsoft monitoriza como Mint Sandstorm (PHOSPHORUS) é um grupo de atividades afiliado com o Irão, ativo desde pelo menos 2013. O Mint Sandstorm (PHOSPHORUS) visa principalmente dissidentes a protestar contra o governo iraniano, bem como líderes ativistas, a base industrial de defesa, jornalistas, equipas de especialistas, universidades e vários serviços e agências governamentais, incluindo alvos em Israel e nos Estados Unidos. O Mint Sandstorm (PHOSPHORUS) foca-se em espionagem. O ator obtém acesso inicial com recurso a métodos desde exploração de vasta escala de dispositivos de acesso remoto a campanhas de spear-phishing. O Mint Sandstorm (PHOSPHORUS) também utiliza recolha de credenciais para obter acesso a contas profissionais oficiais, bem como contas pessoais. Ferramentas anteriormente observadas incluem malware de comodidade, como ferramentas de roubo de informações. O ator também foi observado a desenvolver malware personalizado, incluindo os seus documentos de phishing que utilizam injeção de modelos para carregar conteúdo malicioso. O Mint Sandstorm (PHOSPHORUS) também realizou ataques de ransomware contra múltiplas organizações. A Microsoft associou tais campanhas de ransomware ao Storm-0270 (DEV-0270), um subgrupo do Mint Sandstorm (PHOSPHORUS). O Mint Sandstorm (PHOSPHORUS) é monitorizado por outras empresas de segurança como a Charming Kitten e a APT35. A Mandiant refere-se ao Mint Sandstorm (PhOSPHORUS) atual como APT42.