Aktøren som Microsoft følger som Aqua Blizzard (ACTINIUM) er en statlig aktivitetsgruppe med base i Russland. Ukrainske myndigheter har offentlig tilskrevet denne gruppen til den russiske føderale sikkerhetstjenesten (FSB). Aqua Blizzard (ACTINIUM) er kjent for å primært rette seg mot organisasjoner i Ukraina, inkludert offentlige instanser, militære, ikke-statlige organisasjoner, jurister, rettshåndhevelse, og ideelle organisasjoner, samt instanser knyttet til ukrainske anliggender. Aqua Blizzard (ACTINIUM) fokuserer på spionasje og eksfiltrering av sensitiv informasjon. Aqua Blizzard (ACTINIUM)s taktikker endrer seg stadig og omfatter en mengde avanserte teknikker og prosedyrer. Aktøren er kjent for å primært bruke målrettet phishing-e-post med skadelige vedlegg som inneholder en nyttelast i første fase som laster ned og starter ytterligere nyttelaster. Aktøren bruker en rekke tilpassede verktøy og skadelig programvare for å oppnå målene sine. Ofte brukes godt tilslørte VB-skript, tilslørte PowerShell-kommandoer, selvutvinnende arkiver, Windows-snarvei (LNK) -filer eller en kombinasjon av disse. Aqua Blizzard (ACTINIUM) bruker ofte planlagte oppgaver i disse skriptene for å opprettholde vedvarenhet.
Aqua Blizzard (ACTINIUM) distribuerer også verktøy som Pterodo – en skadelig programvareserie som stadig endrer seg – for å oppnå interaktiv tilgang for å rette seg mot nettverk, opprettholde vedvarenhet og samle informasjon. I noen tilfeller distribuerer de også UltraVNC – et programvareverktøy for eksternt skrivebord – for å aktivere en mer interaktiv tilkobling til et mål. Aqua Blizzard (ACTINIUM) bruker en rekke skadelige programvareserier, blant annet DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry og PowerPunch. Aqua Blizzard (ACTINIUM) følges av andre sikkerhetsselskaper som Gamaredon, Armageddon, Primitive Bear og UNC530.