Der Akteur, den Microsoft unter dem Namen Aqua Blizzard (ACTINIUM) verfolgt, ist eine nationalstaatliche Gruppierung, die von Russland aus agiert. Die ukrainische Regierung hat diese Gruppe öffentlich mit dem Inlandsgeheimdienst der Russischen Föderation (FSB) in Verbindung gebracht. Es ist bekannt, dass Aqua Blizzard (ACTINIUM) primär Organisationen in der Ukraine ins Visier nimmt, darunter Regierungsstellen, das Militär, Nichtregierungsorganisationen, die Justiz, Strafverfolgungsbehörden und gemeinnützige Organisationen sowie Einrichtungen, die mit ukrainischen Angelegenheiten zu tun haben. Aqua Blizzard (ACTINIUM) konzentriert sich auf Spionage und Exfiltration von sensiblen Informationen. Die Taktiken von Aqua Blizzard (ACTINIUM) entwickeln sich ständig weiter und umfassen eine Vielzahl von hochentwickelten Techniken und Methoden. Es ist bekannt, dass der Akteur bevorzugt Spear-Phishing-E-Mails mit bösartigen Anhängen verwendet, die eine Payload der ersten Stufe enthalten, die dann weitere Payloads herunterlädt und auslöst. Um seine Ziele zu erreichen, setzt der Akteur eine Vielzahl von speziell programmierten Tools und Malware ein, häufig in Form von stark verschleierten VBScripts, verschleierten PowerShell-Befehlen, selbstextrahierenden Archiven, Windows-Verknüpfungsdateien (LNK) oder einer Kombination dieser Elemente. Aqua Blizzard (ACTINIUM) verlässt sich häufig auf geplante Aufgaben in diesen Skripten, um die Persistenz zu gewährleisten.
Aqua Blizzard (ACTINIUM) setzt zudem Tools wie Pterodo (eine sich ständig weiterentwickelnde Malware-Familie) ein, um interaktiven Zugriff auf Zielnetzwerke zu erhalten, die Persistenz aufrechtzuerhalten und Informationen zu sammeln. In manchen Fällen nutzt die Gruppe auch UltraVNC, ein Remotedesktop-Softwareprogramm, um eine interaktivere Verbindung zu einem Ziel zu ermöglichen. Aqua Blizzard (ACTINIUM) greift auf eine Vielzahl von Schadsoftware-Familien zurück, darunter DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry und PowerPunch. Aqua Blizzard (ACTINIUM) wird von anderen Sicherheitsunternehmen unter den Namen Gamaredon, Armageddon, Primitive Bear und UNC530 geführt.