Aktören som Microsoft spårar under namnet Aqua Blizzard (ACTINIUM) är en statsunderstödd aktivitetsgrupp med bas utanför Ryssland. Den ukrainska regeringen har offentligt tillskrivit den här gruppen Rysslands underrättelse- och säkerhetstjänst, FSB. Aqua Blizzard (ACTINIUM) är kända för att främst rikta sig mot organisationer i Ukraina, bland annat myndigheter, militära organisationer, icke-statliga organisationer, polis och rättsväsendet, ideella föreningar samt enheter knutna till ukrainska angelägenheter. Aqua Blizzard (ACTINIUM) fokuserar på spioneri och exfiltrering av känslig information. Aqua Blizzards (ACTINIUM) taktik utvecklas konstant och omfattar en rad olika avancerade tekniker och procedurer. Aktören är känd för att främst använda harpunfiskemejl med skadliga bilagor som innehåller en första etappens nyttolast, som laddar ned och startar ytterligare nyttolaster. Den här aktören använder en rad olika anpassade verktyg och skadlig kod för att nå sitt mål, ofta med hjälp av tungt maskerade VBS-skript, maskerade PowerShell-kommandon, självextraherande arkiv, Windows-genvägsfiler (LNK) eller en kombination av de här elementen. Aqua Blizzard (ACTINIUM) använder sig ofta av schemalagda uppgifter i skripten för att upprätthålla uthållighet.
Aqua Blizzard (ACTINIUM) utvecklar också verktyg som Pterodo – en serie skadlig kod i ständig utveckling – för att få interaktiv åtkomst till målnätverk, upprätthålla uthållighet och samla information. I vissa fall distribuerar de också UltraVNC – ett programvaruverktyg för fjärrskrivbord – för att möjliggöra en mer interaktiv anslutning till målet. Aqua Blizzard (ACTINIUM) använder olika serier av skadlig kod, till exempel DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry och PowerPunch. Aqua Blizzard (ACTINIUM) spåras av andra säkerhetsföretag som Gamaredon, Armageddon, Primitive Bear och UNC530.