הגורם ש- Microsoft עוקבת אחריו בשם Aqua Blizzard (ACTINIUM) הוא קבוצת פעילות מדינת לאום שנמצאת מחוץ לרוסיה. הממשלה האוקראינית שייכה את הקבוצה הזאת באופן ציבורי ושירות הביטחון הפדרלי הרוסי (FSB). ידוע כי Aqua Blizzard (ACTINIUM) מציבה תחילה כיעד ארגונים באוקראינה כולל ישויות ממשלתיות, צבאיות, ארגונים שאינם ממשלתיים, גופים משפטיים, רשויות אכיפת החוק וארגונים שאינם למטרות רווח כישויות שקשורות לנושאי אוקראינה. Aqua Blizzard (ACTINIUM) מתמקדת בריגול וסחיטה של מידע רגיש. הטקטיקות של Aqua Blizzard (ACTINIUM) מתפתחות ללא הרף וכוללות שפע של טכניקות ונהלים מתקדמים. הגורם ידוע בכך שהוא תחילה משתמש בהודעות דוא"ל מסוג דיוג ממוקד באמצעות קבצים מצורפים מרובים שמכילים תוכן מנה בשלב הראשון, אשר מורידים ומפעילים תוכני מנה נוספים. הגורם משתמש בכלים ותוכנה זדונית נפוצים כדי להשיג את המטרות שלו, לעתים קרובות הוא משתמש רבות בקבצי VBScripts מעורפלים, פקודות PowerShell מעורפלות, ארכיונים בחילוץ עצמי, קבצי קיצור דרך של Windows (LNK) או שילוב של כל אלה. קבוצת Aqua Blizzard (ACTINIUM) מסתמכת לעתים קרובות במשימות מתוזמנות בקבצי Script אלה כדי לשמור על עקביות.
Aqua Blizzard (ACTINIUM) גם פורסת כלים כגון Pterodo - משפחת תוכנות זדוניות שמתפתחות ללא הרף - כדי להשיג גישה אינטראקטיבית לרשתות שמהוות יעד, לשמור על עקביות ולאסוף מודיעין. בכמה מקרים, הם גם פורסים את UltraVNC - שירות תוכנה של שולחן עבודה מרוחק - כדי לאפשר חיבור אינטראקטיבי יותר אל יעד. Aqua Blizzard (ACTINIUM) משתמשת במגוון משפחות של תוכנה זדונית כולל DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry ו- PowerPunch. חברות אבטחה אחרות כגון Gamaredon, Armageddon, Primitive Bear ו- UNC530 גם עוקבות אחר Aqua Blizzard (ACTINIUM).