Pelaku yang dilacak Microsoft sebagai Aqua Blizzard (ACTINIUM) adalah kelompok aktivitas negara-bangsa yang berbasis di Rusia. Pemerintah Ukraina secara terbuka mengaitkan kelompok ini dengan Dinas Keamanan Federal Rusia (FSB). Aqua Blizzard (ACTINIUM) diketahui terutama menargetkan organisasi di Ukraina termasuk entitas pemerintah, militer, organisasi non-pemerintah, peradilan, penegakan hukum, dan nirlaba, serta entitas yang terkait dengan urusan Ukraina. Aqua Blizzard (ACTINIUM) berfokus pada spionase dan eksfiltrasi informasi sensitif. Taktik Aqua Blizzard (ACTINIUM) terus berkembang dan mencakup banyak teknik dan prosedur canggih. Pelaku ini diketahui terutama menggunakan email spear-phishing dengan lampiran berbahaya yang berisi muatan tahap pertama yang mengunduh dan meluncurkan muatan selanjutnya. Pelaku tersebut menggunakan berbagai alat khusus dan malware untuk mencapai tujuannya, sering kali menggunakan VBScript yang sangat dikaburkan, perintah PowerShell yang dikaburkan, arsip yang mengekstraksi sendiri, file pintasan Windows (LNK), atau kombinasi dari semuanya. Aqua Blizzard (ACTINIUM) sering kali mengandalkan tugas terjadwal dalam skrip ini untuk menjaga kegigihan.
Aqua Blizzard (ACTINIUM) juga menerapkan alat seperti Pterodo—keluarga malware yang terus berkembang—untuk mendapatkan akses interaktif ke jaringan target, mempertahankan persistensi, dan mengumpulkan intelijen. Dalam beberapa kasus, mereka juga menerapkan UltraVNC —sebuah utilitas perangkat lunak desktop jarak jauh—untuk memungkinkan koneksi yang lebih interaktif ke target. Aqua Blizzard (ACTINIUM) menggunakan berbagai keluarga malware termasuk DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry, dan PowerPunch. Aqua Blizzard (ACTINIUM) dilacak oleh perusahaan keamanan lain seperti Gamaredon, Armageddon, Primitive Bear, dan UNC530.