De actor die Microsoft bijhoudt als Aqua Blizzard (ACTINIUM) is een nation-state activistengroep vanuit Rusland. De overheid van Oekraïne heeft deze groep openbaar toegeschreven aan de Federale Veiligheidsdienst van de Russische Federatie (FSB). Het is bekend dat Aqua Blizzard (ACTINIUM) voornamelijk organisaties in Oekraïne aanvalt, inclusief overheidsentiteiten, strijdkrachten, niet-gouvernementele organisaties, het rechtssysteem, de wetshandhaving en non-profitorganisaties, maar ook entiteiten die zijn gerelateerd aan Oekraïense zaken. Aqua Blizzard (ACTINIUM) is gefocust op spionage en de exfiltratie van gevoelige informatie. De tactieken van Aqua Blizzard (ACTINIUM) ontwikkelen zich voortdurend en omvatten een veelvoud aan geavanceerde technieken en procedures. Het is bekend dat de actor voornamelijk gebruikmaakt van e-mails met spear phishing. Deze e-mails bevatten kwaadaardige bijlagen met een payload in de eerste fase die meerdere payloads downloadt en start. De actor gebruikt een verscheidenheid aan aangepaste hulpprogramma's en malware om hun doelen te bereiken. Ze gebruiken vaak zeer onherkenbaar gemaakte VBScripts, onherkenbaar gemaakte PowerShell-opdrachten, zelfuitpakkende archieven, LNK-bestanden (bestanden met Windows-snelkoppelingen) of een combinatie hiervan. Aqua Blizzard (ACTINIUM) maakt vaak gebruik van geplande taken in deze scripts om de permanentie te handhaven.
Aqua Blizzard (ACTINIUM) implementeert ook hulpprogramma's zoals Pterodo (een zich voortdurend ontwikkelende malwarefamilie) om interactieve toegang te krijgen tot doelnetwerken, permanentie te handhaven en informatie te verzamelen. In sommige gevallen implementeren ze ook UltraVNC (software voor een extern bureaublad) om een interactievere verbinding met een doel mogelijk te maken. Aqua Blizzard (ACTINIUM) maakt gebruik van een verscheidenheid aan malwarefamilies, inclusief DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry en PowerPunch. Aqua Blizzard (ACTINIUM) wordt door andere beveiligingsbedrijven bijgehouden als Gamaredon, Armageddon, Primitive Bear en UNC530.