الممثل الذي تتعقبه Microsoft باسم Aqua Blizzard (ACTINIUM) هو مجموعة أنشطة دولة قومية مقرها خارج روسيا. ونسبت الحكومة الأوكرانية علانية هذه المجموعة إلى جهاز الأمن الفيدرالي الروسي (FSB). من المعروف أن Aqua Blizzard (ACTINIUM) تستهدف في المقام الأول المنظمات في أوكرانيا بما في ذلك الكيانات الحكومية والعسكرية والمنظمات غير الحكومية والسلطة القضائية وجهات إنفاذ القانون والمنظمات غير الربحية، بالإضافة إلى الكيانات ذات الصلة بالشؤون الأوكرانية. تركز Aqua Blizzard (ACTINIUM) على التجسس وتسريب المعلومات الحساسة. تتطور تكتيكات Aqua Blizzard (ACTINIUM) باستمرار وتشمل العديد من التقنيات والإجراءات المتقدمة. ومن المعروف أن الجهة الفاعلة تستخدم في المقام الأول رسائل البريد الإلكتروني للتصيد الاحتيالي التي تحتوي على مرفقات ضارة تحتوي على حمولة المرحلة الأولى التي تقوم بتنزيل وإطلاق المزيد من الحمولات. يستخدم الممثل مجموعة متنوعة من الأدوات المخصصة والبرامج الضارة لتحقيق أهدافه، وغالبًا ما يستخدم VBScripts المبهمة بشدة، أو أوامر PowerShell المبهمة، أو أرشيفات الاستخراج الذاتي، أو ملفات اختصار Windows (LNK)، أو مزيج من هذه. تعتمد Aqua Blizzard (ACTINIUM) بشكل متكرر على المهام المجدولة في هذه البرامج النصية للحفاظ على الثبات.
تنشر Aqua Blizzard (ACTINIUM) أيضًا أدوات مثل Pterodo، وهي عائلة من البرامج الضارة تتطور باستمرار، للحصول على وصول تفاعلي إلى الشبكات المستهدفة، والحفاظ على الثبات، وجمع المعلومات الاستخبارية. وفي بعض الحالات، يقومون أيضًا بنشر UltraVNC — وهي أداة مساعدة لبرنامج سطح المكتب البعيد — لتمكين اتصال أكثر تفاعلية بالهدف. تستخدم Aqua Blizzard (ACTINIUM) مجموعة متنوعة من عائلات البرامج الضارة بما في ذلك DinoTrain وDesertDown وDilongTrash وObfuBerry وObfuMerry وPowerPunch. يتم تتبع Aqua Blizzard (ACTINIUM) من قبل شركات أمنية أخرى مثل Gamaredon، وArmageddon، وPrimitive Bear، وUNC530.