A Microsoft által Aqua Blizzard (ACTINIUM) néven nyomon követett szereplő egy oroszországi székhelyű nemzetállami tevékenységet folytató csoport. Az ukrán kormány nyilvánosan az orosz Szövetségi Biztonsági Szolgálatnak (FSZB) tulajdonította ezt a csoportot. Az Aqua Blizzard (ACTINIUM) arról ismert, hogy elsősorban ukrajnai szervezeteket vesz célba, köztük kormányzati szerveket, katonai, nem kormányzati szervezeteket, igazságszolgáltatási, bűnüldözési és non-profit szervezeteket, valamint az ukrán ügyekkel kapcsolatos szervezeteket. Az Aqua Blizzard (ACTINIUM) a kémkedésre és a bizalmas információk kiszivárgására összpontosít. Az Aqua Blizzard (ACTINIUM) taktikája folyamatosan fejlődik, és számos fejlett technikát és eljárást foglal magában. A szereplőről ismert, hogy elsősorban célzott adathalász e-maileket használ rosszindulatú mellékletekkel, amelyek olyan első lépcsős kártékony kódot tartalmaznak, amely további kártékony kódokat tölt le és indít el. A szereplő számos egyéni eszközt és kártevő szoftvert használ céljai eléréséhez, gyakran erősen homályos VBScripteket, homályos PowerShell-parancsokat, önkicsomagoló archívumokat, Windows parancsikon (LNK) fájlokat vagy ezek kombinációját. Az Aqua Blizzard (ACTINIUM) gyakran támaszkodik az ilyen szkriptek ütemezett feladataira az állandóság fenntartása érdekében.
Az Aqua Blizzard (ACTINIUM) olyan eszközöket is bevet, mint a Pterodo – a kártevő szoftverek folyamatosan családja –, hogy interaktív hozzáférést szerezzen a célhálózatokhoz, fenntartsa az állandóságot és információkat gyűjtsön. Egyes esetekben az UltraVNC-t – egy távoli asztali szoftveres segédprogramot – is bevetik, hogy interaktívabb kapcsolatot tegyenek lehetővé a célponttal. Az Aqua Blizzard (ACTINIUM) a kártevő szoftverek számos családját alkalmazza, köztük a DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry és PowerPunch családokat. Az Aqua Blizzardot (ACTINIUM) más biztonsági cégek Gamaredon, Armageddon, Primitive Bear és UNC530 néven követik.