L’acteur que Microsoft suit sous le nom d’Aqua Blizzard (ACTINIUM) est un groupe d’activité d’État-nation basé en Russie. Le gouvernement ukrainien a publiquement attribué ce groupe au Service fédéral de sécurité russe (FSB). Aqua Blizzard (ACTINIUM) est connu pour cibler principalement des organisations en Ukraine, y compris des entités gouvernementales, militaires, des organisations non gouvernementales, le système judiciaire, les forces de l’ordre et les organisations à but non lucratif, ainsi que des entités liées aux affaires ukrainiennes. Aqua Blizzard (ACTINIUM) se concentre sur l’espionnage et l’exfiltration d’informations sensibles. Les tactiques d’Aqua Blizzard (ACTINIUM) sont en constante évolution et englobent une multitude de techniques et de procédures avancées. L’acteur est connu pour utiliser principalement des courriels d’harponnage avec des pièces jointes malveillantes qui contiennent une charge utile de première étape qui se télécharge et lance d’autres charges utiles. Cet acteur utilise une variété d’outils personnalisés et de logiciels malveillants pour atteindre ses objectifs, souvent à l’aide de scripts VBS fortement obscurcis, de commandes PowerShell obscurcies, d’archives auto-extractibles, de fichiers de raccourcis Windows (LNK), voire d’une combinaison de ces éléments. Aqua Blizzard (ACTINIUM) s’appuie fréquemment sur des tâches planifiées dans ces scripts pour maintenir la persistance.
Aqua Blizzard (ACTINIUM) déploie également des outils tels que Pterodo, une famille de logiciels malveillants en constante évolution, de façon à obtenir un accès interactif aux réseaux cibles, à maintenir la persistance et à collecter des informations. Dans certains cas, ils déploient également UltraVNC – un logiciel de bureau à distance – pour permettre une connexion plus interactive avec la cible. Aqua Blizzard (ACTINIUM) utilise diverses familles de logiciels malveillants, dont DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry et PowerPunch. Aqua Blizzard (ACTINIUM) est suivi par d’autres sociétés de sécurité comme Gamaredon, Armageddon, Primitive Bear et UNC530.