Tác nhân bị Microsoft theo dõi dưới cái tên Mint Sandstorm (PHOSPHORUS) là một nhóm hoạt động có liên kết với Iran và triển khai muộn nhất từ ​​năm 2013. Mint Sandstorm (PHOSPHORUS) được biết là chủ yếu nhắm vào những người bất đồng chính kiến và ​​phản đối chính phủ Iran, các nhà lãnh đạo hoạt động, cơ sở công nghiệp quốc phòng, nhà báo, tổ chức tư vấn, trường đại học cũng như nhiều cơ quan và dịch vụ chính phủ, bao gồm các mục tiêu ở Israel và Hoa Kỳ. Mint Sandstorm (PHOSPHORUS) tập trung vào hoạt động gián điệp. Tác nhân được ghi nhận là có quyền truy cập ban đầu thông qua khai thác các thiết bị truy cập từ xa cho đến các chiến dịch lừa đảo trực tuyến trên quy mô lớn. Mint Sandstorm (PHOSPHORUS) cũng áp dụng thu thập thông tin xác thực để có quyền truy cập vào tài khoản cơ quan chính thức cũng như tài khoản cá nhân. Công cụ được quan sát trước đây bao gồm phần mềm độc hại dạng hàng hóa, như trình đánh cắp thông tin. Tác nhân này cũng đang phát triển phần mềm độc hại tùy chỉnh, bao gồm tài liệu lừa đảo qua mạng sử dụng tính năng chèn mẫu để tải nội dung độc hại. Mint Sandstorm (PHOSPHORUS) cũng từng tiến hành các cuộc tấn công bằng mã độc tống tiền nhắm vào nhiều tổ chức. Microsoft đã liên kết các chiến dịch mã độc tống tiền như vậy với Storm-0270 (DEV-0270), một nhóm con của Mint Sandstorm (PHOSPHORUS). Mint Sandstorm (PHOSPHORUS) đang bị các công ty bảo mật khác là Charming Kitten và APT35 theo dõi. Mandiant gọi Mint Sandstorm (PHOSPHORUS) ngày nay là APT42.