Aktören som Microsoft övervakar under namnet Mint Sandstorm (PHOSPHORUS) är en aktivitetsgrupp med kopplingar till Iran sedan åtminstone 2013. Mint Sandstorm (PHOSPHORUS) är känt för att främst rikta sig mot dissidenter som protesterar mot den iranska regeringen samt aktivistledare, försvarsindustrin, journalister, tankesmedjor, universitet och ett flertal statliga myndigheter och samhällstjänster inklusive mål i Israel och USA. Mint Sandstorm (PHOSPHORUS) fokuserar på spionage. Aktören är känd för att skaffa sig initial åtkomstgenom att i bred skala utnyttja fjärråtkomstenheter för att utföra harpunfiskekampanjer. Mint Sandstorm (PHOSPHORUS) använder sig också av inhämtning av autentiseringsuppgifter för att få åtkomst till både officiella och personliga arbetskonton. Även verktyg som automatisk körning av skadlig programvara, till exempel informationstjuvar, används. Aktören har också observerats utveckla egen skadlig programvara, däribland nätfiskedokument där man använder sig av mallinmatning för att läsa in skadligt innehåll. Mint Sandstorm (PHOSPHORUS) har dessutom utfört angrepp med utpressningstrojaner mot flera organisationer. Microsoft har knutit sådana utpressningstrojankampanjer till Storm-0270 (DEV-0270), en undergrupp till Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) övervakas av andra säkerhetsföretag under namnen Charming Kitten och APT35. Mandiant refererar till aktuell Mint Sandstorm (PHOSPHORUS) som APT42.