El actor que Microsoft sigue como Aqua Blizzard (ACTINIUM) es un grupo de actividades a nivel nacional con sede en Rusia. El gobierno ucraniano ha atribuido públicamente este grupo al Servicio de Seguridad Federal ruso (FSB). Aqua Blizzard (ACTINIUM) es conocido principalmente por atacar organizaciones de Ucrania que incluyen entidades administrativas, el ejército, organizaciones no gubernamentales, el poder judicial, los servicios de seguridad y organizaciones sin ánimo de lucro, así como entidades relacionadas con los asuntos de Ucrania. Aqua Blizzard (ACTINIUM) se centra en el espionaje y la exfiltración de información confidencial. Las tácticas de Aqua Blizzard (ACTINIUM) evolucionan de forma constante e incluyen múltiples técnicas y procedimientos avanzados. El actor es conocido por usar principalmente correos electrónicos de phishing de objetivo definido con archivos adjuntos malintencionados que contienen una carga de primera fase que descarga e inicia más cargas. El actor usa varias herramientas personalizadas y malware para conseguir sus objetivos y a menudo usa VBScripts muy ofuscados, comandos de PowerShell ofuscados, archivos autoextraíbles, archivos de acceso directo de Windows (LNK) o una combinación de lo anterior. Aqua Blizzard (ACTINIUM) suele depender de tareas programadas en estos scripts para persistir.
Aqua Blizzard (ACTINIUM) también implementa herramientas como Pterodo (una familia de malware en constante evolución) para obtener acceso interactivo a las redes objetivo, persistir y reunir información. En algunos casos, también implementa UltraVNC, una utilidad de software de escritorio remoto, para permitir una conexión más interactiva con un objetivo. Aqua Blizzard (ACTINIUM) emplea varias familias de malware, incluidas DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry y PowerPunch. Otras empresas de seguridad como Gamaredon, Armageddon, Primitive Bear y UNC530 rastrean a Aqua Blizzard (ACTINIUM).