Źródło zagrożenia śledzone przez firmę Microsoft pod nazwą Aqua Blizzard (ACTINIUM) to państwowa grupa aktywności z Rosji. Rząd ukraiński publicznie przypisał odpowiedzialność za tę grupę rosyjskiej Federalnej Służbie Bezpieczeństwa (FSB). Grupa Aqua Blizzard (ACTINIUM) jest znana przede wszystkim z ataków na organizacje w Ukrainie, w tym na podmioty administracji publicznej, wojsko, organizacje pozarządowe, sądownictwo, organy ścigania i organizacje niedochodowe oraz podmioty powiązane ze sprawami ukraińskimi. Grupa Aqua Blizzard (ACTINIUM) koncentruje się na szpiegostwie i eksfiltracji informacji poufnych. Metody stosowane przez grupę Aqua Blizzard (ACTINIUM) nieustannie ewoluują i obejmują wiele zaawansowanych technik i procedur. To źródło zagrożenia wykorzystuje przede wszystkim wiadomości e-mail służące do spersonalizowanego wyłudzania informacji (spear-phishing) ze złośliwymi załącznikami zawierającymi ładunek pierwszego etapu, który pobiera i uruchamia kolejne ładunki. Aby osiągnąć wyznaczone cele, grupa ta korzysta z różnorodnych niestandardowych narzędzi i złośliwych programów, często stosując mocno zaciemnione skrypty VBScript, zaciemnione polecenia programu PowerShell, samorozpakowujące się archiwa, pliki skrótów systemu Windows (LNK) lub połączenia tych metod. Grupa Aqua Blizzard (ACTINIUM) często korzysta w tych skryptach z zaplanowanych zadań w celu utrzymania obecności w zaatakowanym systemie.
Grupa Aqua Blizzard (ACTINIUM) wdraża też narzędzia takie jak Pterodo — nieustannie rozwijająca się rodzina złośliwego oprogramowania — w celu uzyskiwania interakcyjnego dostępu do sieci docelowych, pozostawania w nich i zbierania informacji wywiadowczych. W niektórych przypadkach grupa ta wdraża też UltraVNC, narzędzie do obsługi pulpitu zdalnego, aby zapewnić sobie bardziej interakcyjne połączenie z celem ataku. Grupa Aqua Blizzard (ACTINIUM) wykorzystuje różnorodne rodziny złośliwego oprogramowania, w tym DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry i PowerPunch. Grupa Aqua Blizzard (ACTINIUM) jest śledzona przez inne firmy zajmujące się zabezpieczeniami pod nazwami Gamaredon, Armageddon, Primitive Bear i UNC530.