Ründaja, kelle tegevust Microsoft jälgib koodnime Aqua Blizzard (ACTINIUM) all, on Venemaal asuv riiklikult mahitatud rühmitus. Ukraina valitsus on seda rühmitust avalikult seostanud Venemaa föderaalse julgeolekuteenistusega (FSB). Aqua Blizzard (ACTINIUM) sihib teadaolevalt peamiselt Ukrainas asuvaid organisatsioone, sealhulgas riigiasutusi, kaitseväega seotud ameteid, valitsusväliseid organisatsioone, kohtusüsteemi, õiguskaitseasutusi ning mittetulundusühinguid ning Ukraina-asjadega seotud juriidilisi isikuid. Aqua Blizzard (ACTINIUM) keskendub spionaažile ja tundliku teabe väljaviimisele. Aqua Blizzardi (ACTINIUMI) taktika areneb pidevalt edasi ning hõlmab mitmesuguseid keerukaid tehnikaid ja protseduure. Peamiselt kasutab see küberohustaja harpuunimissõnumeid, mille ründevaramanustes sisalduv esimese etapi last laadib seejärel alla ja käivitab järgmised lastid. See ründaja kasutab oma eesmärkide saavutamiseks mitmesuguseid kohandatud tööriistu ja ründevara; sageli kasutatakse põhjalikult sogastatud või peidetud VBScripte, peidetud PowerShelli käske, ekstraktuvaid arhiive, Windowsi otseteefaile (LNK) või kõigi nende kombinatsiooni. Aqua Blizzard (ACTINIUM) sõltub püsivuse tagamiseks neis skriptides sageli ajastatud toimingutele.
Aqua Blizzard (ACTINIUM) kasutab ka selliseid tööriistu nagu pidevalt arenevasse ründevaraperesse kuuluv Pterodo, et saada sihtvõrkudele interaktiivne juurdepääs, tagada püsivus ja koguda olulist luureteavet. Mõnel juhul võtavad nad kasutusele ka UltraVNC – kaugtöölauatarkvara utiliidi, mis võimaldab sihtmärgiga luua interaktiivsema ühenduse. Aqua Blizzard (ACTINIUM) kasutab mitmesuguseid ründevaraperesid (sh DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry ja PowerPunch). Teised turbeettevõtted jälgivad Aqua Blizzardit (ACTINIUMI) koodnimede Gamaredon, Armageddon, Primitive Bear ja UNC530 all.