Izpildītājs, ko Microsoft izseko kā Aqua Blizzard (ACTINIUM), ir valsts atbalstīta grupa, kas bāzēta ārpus Krievijas. Ukrainas valdība ir publiski norādījusi, ka šī grupa ir saistīta ar Krievijas Federālās drošības dienestu (FDD). Aqua Blizzard (ACTINIUM) galvenokārt uzbrūk organizācijām Ukrainā, tostarp valsts pārvaldes iestādēm, militārām, nevalstiskām organizācijām, tiesu sistēmas, tiesībsargājošajām iestādēm, bezpeļņas organizācijām, kā arī ar Ukrainas lietām saistītām organizācijām. Aqua Blizzard (ACTINIUM) koncentrējas uz spiegošanu un sensitīvas informācijas eksfiltrēšanu. Aqua Blizzard (ACTINIUM) taktika pastāvīgi attīstās un ietver daudzas uzlabotas metodes un procedūras. Šis izpildītājs pamatā izmanto mērķētus pikšķerēšanas e-pasta ziņojumus ar ļaunprātīgiem pielikumiem, kas satur pirmās pakāpes vērtumu, kurš lejupielādē un aktivizē citus vērtumus. Izpildītājs savu mērķu sasniegšanai izmanto dažādus pielāgotus rīkus un ļaunprogrammatūru, bieži vien lietojot maskētas PowerShell komandas, pašizvilces arhīvus, Windows PowerShell saīšņu (LNK) failus vai šo rīku kombinācijas. Aqua Blizzard (ACTINIUM) bieži izmanto ieplānotus uzdevumus šajos skriptos, lai nodrošinātu pastāvīgu klātbūtni.
Aqua Blizzard (ACTINIUM) izvieto arī tādus rīkus kā Pterodo (pastāvīgi attīstošos ļaunprogrammatūru saimi), lai iegūtu interaktīvu piekļuvi mērķa tīkliem, nodrošinātu pastāvīgu klātbūtni un savāktu informāciju. Dažkārt viņi izvieto arī attālās darbvirsmas programmatūras utilītu UltraVNC, lai iespējotu interaktīvāku savienojumu ar mērķi. Aqua Blizzard (ACTINIUM) izmanto dažādas ļaunprogrammatūras saimes, tostarp DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry un PowerPunch. Izpildītāju Aqua Blizzard (ACTINIUM) izseko citi drošības uzņēmumi, piemēram, Gamaredon, Armageddon, Primitive Bear un UNC530.