Grėsmės sukėlėjas, kurį „Microsoft“ seka kaip „Aqua Blizzard“ (ACTINIUM), yra nacionalinės valstybės veiklų grupė, įsikūrusi Rusijoje. Ukrainos vyriausybė šią grupę viešai priskyrė Rusijos federalinei saugumo tarnybai (FSB). Žinoma, kad „Aqua Blizzard“ (ACTINIUM) pirmiausia taikosi į Ukrainos organizacijas, įskaitant vyriausybines, karines, nevyriausybines, teismines, teisėsaugos ir ne pelno siekiančias organizacijas, taip pat su Ukrainos reikalais susijusius subjektus. „Aqua Blizzard“ (ACTINIUM) daugiausia dėmesio skiria šnipinėjimui ir slaptos informacijos nutekėjimui. „Aqua Blizzard“ (ACTINIUM) taktika nuolat tobulėja ir apima daugybę pažangių metodų ir procedūrų. Yra žinoma, kad šis veikėjas daugiausia naudoja tikslinio sukčiavimo apsimetant el. laiškus su kenkėjiškais priedais, kuriuose yra pirmojo etapo paketo turinys, atsisiunčiantis ir paleidžiantis kitus paketo turinius. Veikėjas savo tikslams pasiekti naudoja įvairias pasirinktines priemones ir kenkėjišką programinę įrangą, dažnai naudodamas smarkiai užmaskuotus VBS scenarijus, užmaskuotas „PowerShell“ komandas, savaime išsiskleidžiančius archyvus, „Windows“ sparčiųjų nuorodų (LNK) failus arba jų derinius. „Aqua Blizzard“ (ACTINIUM) dažnai remiasi šiuose scenarijuose suplanuotomis užduotimis, kad išlaikytų pastovumą.
„Aqua Blizzard“ (ACTINIUM) taip pat naudoja tokias priemones kaip „Pterodo“ – nuolat tobulinamą kenkėjiškų programų šeimą, kad įgytų interaktyvią prieigą prie atakuojamų tinklų, išlaikytų pastovumą ir rinktų žvalgybinę informaciją. Kai kuriais atvejais jie taip pat diegia „UltraVNC“ – nuotolinio darbalaukio programinę įrangą, kad būtų galima interaktyviau prisijungti prie reikiamo objekto. „Aqua Blizzard“ (ACTINIUM) naudoja įvairias kenkėjiškas programas, įskaitant „DinoTrain“, „DesertDown“, „DilongTrash“, „ObfuBerry“, „ObfuMerry“ ir „PowerPunch“. „Aqua Blizzard“ (ACTINIUM) seka ir kitos saugos įmonės, tokios kaip „Gamaredon“, „Armageddon“, „Primitive Bear“ ir UNC530.