L’attore che Microsoft traccia come Aqua Blizzard (ACTINIUM) è un gruppo di attività stato nazione con sede in Russia. Il governo Ucraino ha attribuito pubblicamente questo gruppo al Servizio federale per la sicurezza della Federazione Russa (FSB). Aqua Blizzard (ACTINIUM) è noto per mirare principalmente organizzazioni in Ucraina, incluse gli enti governativi, militari, organizzazioni non governative, enti giudiziari, forze di polizia e organizzazioni senza scopo di lucro, ma anche enti legati all’Ucraina. Aqua Blizzard (ACTINIUM) si concentra sullo spionaggio e sull’esfiltrazione di informazioni riservate. Le tattiche adottate da Aqua Blizzard (ACTINIUM) sono in continua evoluzione e includono una serie di tecniche e procedure avanzate. Questo attore è noto per utilizzare principalmente email di spear-phishing con allegati dannosi contenenti un payload di primo livello che scarica e lancia ulteriori payload. L’attore utilizza un’ampia gamma di strumenti e software dannosi personalizzati per raggiungere i propri obiettivi, spesso ricorrendo a VBScript fortemente offuscati, comandi PowerShell offuscati, archivi che si estraggono automaticamente, file di tasti di scelta rapida (LNK) di Windows o una combinazione di questi. Per mantenere la persistenza dei suoi attacchi, Aqua Blizzard (ACTINIUM) si affida spesso ad attività programmate nei suoi script.
Aqua Blizzard (ACTINIUM) utilizza anche strumenti come Pterodo (una famiglia di software dannosi in continua evoluzione) per acquisire un accesso interattivo alle reti target, mantenere la persistenza dell’attacco e raccogliere informazioni riservate. In alcuni casi, impiegano anche UltraVNC (un software per desktop remoto) per ottenere una connessione più interattiva con un target. Aqua Blizzard (ACTINIUM) utilizza numerose famiglie di software dannosi tra cui DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry e PowerPunch. Aqua Blizzard (ACTINIUM) viene tracciato da altre aziende di sicurezza come Gamaredon, Armageddon, Primitive Bear e UNC530.