Действащото лице, което Microsoft проследява като Aqua Blizzard (ACTINIUM), е група за дейности, насочвана от държава и базирана в Русия. Украинското правителство публично свърза тази група с Руската федерална служба за сигурност (ФСБ). Известно е, че Aqua Blizzard (ACTINIUM) си набелязва за цел основно организации в Украйна, включително държавни организации, военни, неправителствени организации, съдебни органи, правоприлагащи органи и организации с нестопанска цел, както и организации, свързани с дела в Украйна. Aqua Blizzard (ACTINIUM) се фокусира върху шпионажа и ексфилтрирането на чувствителна информация. Тактиките на Aqua Blizzard (ACTINIUM) непрекъснато се развиват и включват множество усъвършенствани техники и процедури. Известно е, че действащото лице използва предимно насочени фишинг имейли със злонамерени прикачени файлове, които съдържат полезен обем от първи етап, който изтегля и стартира допълнителни полезни обеми. Действащото лице използва различни персонализирани инструменти и злонамерен софтуер, за да постигне целите си, често използвайки добре скрити скриптове на VBScript, скрити команди на PowerShell, самоизвличащи се архиви, файлове за преки пътища на Windows (LNK) или комбинация от тях. Aqua Blizzard (ACTINIUM) често разчита на планирани задачи в тези скриптове, за да поддържа постоянство.
Aqua Blizzard (ACTINIUM) също така разполага инструменти като Pterodo – непрекъснато развиващо се семейство злонамерен софтуер – за получаване на интерактивен достъп до набелязани за цел мрежи, поддържане на постоянство и събиране на информация. В някои случаи също така разполага UltraVNC – софтуерна помощна програма за отдалечен работен плот – за да активира по-интерактивна връзка към дадена цел. Aqua Blizzard (ACTINIUM) използва различни семейства злонамерен софтуер, включително DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry и PowerPunch. Aqua Blizzard (ACTINIUM) се проследява от други компании за сигурност като Gamaredon, Armageddon, Primitive Bear и UNC530.