Actorul pe care Microsoft îl urmărește ca Mint Sandstorm (PHOSPHORUS) este un grup de activități afiliat Iranului, activ cel puțin din 2013. Mint Sandstorm (PHOSPHORUS) este cunoscut că vizează în primul rând dizidenții care protestează împotriva guvernului iranian, precum și liderii activiști, baze industriale de apărare, jurnaliști, grupuri de discuții, universități și mai multe agenții și servicii guvernamentale, inclusiv ținte din Israel și Statele Unite ale Americii. Mint Sandstorm (PHOSPHORUS) se axează pe spionaj. Se știe că actorul obține accesul inițial din exploatarea pe scară largă a dispozitivelor cu acces de la distanță prin campanii de phishing țintit. De asemenea, Mint Sandstorm (PHOSPHORUS) folosește culegerea informațiilor de conectare pentru a obține accesul la conturi oficiale de la locul de muncă și conturi personale. Instrumentele observate anterior includ malware ca marfă pentru furtul de informații. S-a observat și că actorul dezvoltă malware personalizat, inclusiv documente de phishing ce folosesc injectarea șabloanelor pentru încărcarea conținutului rău intenționat. De asemenea, Mint Sandstorm (PHOSPHORUS) a efectuat atacuri ransomware împotriva mai multor organizații. Microsoft a făcut legătura între campaniile de ransomware de acest fel și Storm-0270 (DEV-0270), un subgrup al Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) este urmărit de alte firme de securitate sub numele de Charming Kitten și APT35. Mandiant numește Mint Sandstorm (PHOSPHORUS) din zilele noastre APT42.