Aktøren, som Microsoft sporer som Aqua Blizzard (ACTINIUM), er en nationalstatsaktivitetsgruppe med base i Rusland. Den ukrainske regering har offentligt tilskrevet denne gruppe til Ruslands FSB (den føderale sikkerhedstjeneste). Aqua Blizzard (ACTINIUM) er kendt for primært at målrette mod organisationer i Ukraine, herunder regeringsenheder, militæret, NGO'er, domstolene, udøvende myndigheder og nonprofitorganisationer, samt enheder med relation til Ukrainske forhold. Aqua Blizzard (ACTINIUM) fokuserer på spionage og udtrækning af følsomme oplysninger. Aqua Blizzards (ACTINIUM) taktikker udvikles konstant og omfatter en række avancerede teknikker og procedurer. Aktøren er kendt for primært at bruge spearphishingmail med skadelige vedhæftede filer, der indeholder førstetrins nyttedata, som downloader og starter yderligere nyttedata. Aktøren bruger et udvalg af tilpassede værktøjer og malware til at nå sine mål, ofte ved hjælp af særdeles slørede VBScripts, slørede PowerShell-kommander, selvudpakkende arkiver, Windows-genvejsfiler (LNK) eller en kombination af disse. Aqua Blizzard (ACTINIUM) gør ofte brug af planlagte opgaver i disse scripts for at opretholde vedholdenhed.
Aqua Blizzard (ACTINIUM) udruller også værktøjer såsom Pterodo – en malwarefamilie i konstant udvikling – for at få interaktiv adgang til målnetværk, opretholde vedholdenhed og indhente efterretninger. I nogle tilfælde udruller de også UltraVNC – et softwareværktøj til fjernskrivebord – til at muliggøre en mere interaktiv forbindelse til målet. Aqua Blizzard (ACTINIUM) benytter en række malwarefamilier, herunder DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry og PowerPunch. Aqua Blizzard (ACTINIUM) spores af andre sikkerhedsfirmaer, f.eks. Gamaredon, Armageddon, Primitive Bear og UNC530.