Der Bedrohungsakteur, den Microsoft unter dem Namen Mint Sandstorm (PHOSPHORUS) beobachtet, ist eine mit dem Iran in Verbindung stehende Aktivitätsgruppe und seit mindestens 2013 aktiv. Mint Sandstorm (PHOSPHORUS) ist dafür bekannt, vorwiegend Dissidenten, die gegen die iranische Regierung protestieren, führende Aktivisten, die Industriebasis der Rüstungsbranche, Journalisten, Denkfabriken und Universitäten sowie verschiedene Regierungsorganisationen und -dienste ins Visier zu nehmen, darunter auch Ziele in Israel und den USA. Der Schwerpunkt von Mint Sandstorm (PHOSPHORUS) liegt auf Spionage. Der Bedrohungsakteur ist dafür bekannt, dass er sich zunächst durch die massenhafte Ausnutzung von Fernzugriffsgeräten und Spear-Phishing-Kampagnen Zugang verschafft. Mint Sandstorm (PHOSPHORUS) sammelt auch Anmeldeinformationen, um Zugang zu offiziellen Arbeitskonten und persönlichen Konten zu erhalten. Zu den zuvor genutzten Tools zählen gängige Schadsoftware wie Programme für den Informationsdiebstahl. Darüber hinaus wurde die Gruppe bei der Entwicklung maßgeschneiderter Malware beobachtet, einschließlich ihrer Phishing-Dokumente, die Template-Injektion zum Laden bösartiger Inhalte verwenden. Mint Sandstorm (PHOSPHORUS) hat außerdem Ransomwareangriffe gegen mehrere Organisationen durchgeführt. Microsoft hat festgestellt, dass solche Ransomware-Kampagnen mit Storm-0270 (DEV-0270), einer Untergruppe von Mint Sandstorm (PHOSPHORUS), zusammenhängen. Mint Sandstorm (PHOSPHORUS) wird von anderen Sicherheitsunternehmen unter den Namen "Charming Kitten" und "APT35" beobachtet. Mandiant bezeichnet den heutigen Mint Sandstorm (PHOSPHORUS) als "APT42".