Microsoftin nimellä Aqua Blizzard (ACTINIUM) seuraama uhkaava toimija on valtioiden tukema ryhmä, joka toimii Venäjältä käsin. Ukrainan viranomaiset ovat julkisesti todenneet tämän ryhmän toimivan Venäjän FSB:n alaisuudessa. Aqua Blizzardin (ACTINIUM) tiedetään kohdistavan hyökkäyksensä ensisijaisesti Ukrainan organisaatioihin, mukaan lukien hallituksen yksiköt, armeija, kansalaisjärjestöt, oikeuslaitos, lainvalvontaviranomaiset ja voittoa tavoittelemattomat järjestöt sekä Ukrainan asioihin liittyvät yksiköt. Aqua Blizzard (ACTINIUM) keskittyy vakoiluun ja arkaluonteisten tietojen varastamiseen. Aqua Blizzardin (ACTINIUM) taktiikat kehittyvät jatkuvasti, ja ne sisältävät lukuisia kehittyneitä tekniikoita ja menettelytapoja. Ryhmän tiedetään käyttävän ensisijaisesti kohdennetun verkkourkinnan sähköposteja, joissa on haitallisia liitetiedostoja, jotka sisältävät ensimmäisen vaiheen tiedot, jotka ladataan ja jotka käynnistävät lisää tietolatauksia. Ryhmä käyttää useita räätälöityjä työkaluja ja haittaohjelmia saavuttaakseen tavoitteensa. Usein se käyttää esimerkiksi tehokkaasti naamioituja VBScripts-komentosarjoja, naamioituja PowerShell-komentoja, itsestään purkautuvia arkistoja, Windowsin pikakuvaketiedostoja (LNK) tai näiden yhdistelmiä. Aqua Blizzard (ACTINIUM) luottaa usein näiden komentosarjojen ajoitettuja tehtäviä jatkaakseen hyökkäyksiä.
Aqua Blizzard (ACTINIUM) käyttää myös Pterodon (jatkuvasti kehittyvä haittaohjelmaperhe) kaltaisia työkaluja saadakseen vuorovaikutteisen pääsyn kohdeverkkoon, pitääkseen hyökkäyskanavan auki ja kerätäkseen tietoa. Joissain tapauksissa se käyttää UltraVNC-etätyöpöytäohjelmistoa mahdollistaakseen vuorovaikutteisemman yhteyden kohteeseen. Aqua Blizzard (ACTINIUM) hyödyntää monia haittaohjelmaperheitä, esimerkiksi seuraavia: DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry ja PowerPunch. Aqua Blizzardia (ACTINIUM) seuraavat monet muutkin tietoturvayritykset, esimerkiksi Gamaredon, Armageddon, Primitive Bear ja UNC530.