Microsoft가 추적하는 위협 행위 조직 Aqua Blizzard(ACTINIUM)는 러시아에 기반을 둔 국가 단위 활동 단체입니다. 우크라이나 정부는 이 단체가 러시아 FSB(연방보안국) 소속이라고 공개적으로 밝혔습니다. Aqua Blizzard(ACTINIUM)는 우크라이나 국정과 관련된 기관뿐만 아니라 정부 기관, 군대, 비정부 기구, 사법부, 법 집행 기관, 비영리 기관을 비롯한 우크라이나 내 조직을 주로 표적으로 삼는 것으로 알려져 있습니다. Aqua Blizzard(ACTINIUM)는 첩보 활동과 민감한 정보의 반출에 중점을 둡니다. Aqua Blizzard(ACTINIUM)의 전술은 끊임없이 진화하고 있으며 다양한 고급 기법과 절차를 포괄합니다. 공격자는 추가 페이로드를 다운로드하고 실행하는 1단계 페이로드가 포함된 악성 파일을 첨부한 스피어피싱 이메일을 주로 사용하는 것으로 알려져 있습니다. 공격자는 목표를 달성하기 위해 다양한 맞춤형 도구와 맬웨어를 사용하며, 종종 난독화된 VBScript, 난독화된 PowerShell 명령, 자동 추출 아카이브, Windows LNK(바로 가기) 파일 또는 이들의 조합을 사용합니다. Aqua Blizzard(ACTINIUM)는 지속성을 유지하기 위해 이러한 스크립트에서 예약된 작업을 사용하는 경우가 많습니다.
Aqua Blizzard(ACTINIUM)는 또한 계속해서 진화하는 맬웨어 계열인 Pterodo와 같은 도구를 배포하여 표적 네트워크에 대한 대화형 액세스 권한을 얻고 지속성을 유지하며 정보를 수집합니다. 원격 데스크톱 소프트웨어 유틸리티인 UltraVNC를 배포하여 표적에 대한 보다 상호 작용이 원활한 연결을 사용하는 경우도 있습니다. Aqua Blizzard(ACTINIUM)는 DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry, PowerPunch를 포함한 다양한 맬웨어 계열을 사용합니다. Aqua Blizzard(ACTINIUM)는 다른 보안 회사에서 Gamaredon, Armageddon, Primitive Bear, UNC530과 같은 이름으로 추적하고 있습니다.