O ator que a Microsoft rastreia como Aqua Blizzard (ACTINIUM) é um grupo de atividade de estado-nação baseado na Rússia. O governo ucraniano atribuiu publicamente esse grupo ao FSB (Serviço Federal de Segurança) da Rússia. Sabemos que a Aqua Blizzard (ACTINIUM) tem como alvo principal organizações na Ucrânia, incluindo entidades governamentais, militares, organizações não governamentais, judiciárias, policiais e sem fins lucrativos, bem como entidades relacionadas a assuntos ucranianos. O Aqua Blizzard (ACTINIUM) se concentra em espionagem e exfiltração de informações confidenciais. As táticas do Aqua Blizzard (ACTINIUM) estão em constante evolução e abrangem uma infinidade de técnicas e procedimentos avançados. O ator é conhecido por usar principalmente emails de spear phishing com anexos mal-intencionados que contêm uma carga útil de primeiro estágio que faz o download e lança outras cargas úteis. O ator usa uma variedade de ferramentas personalizadas e malware para atingir seus objetivos, muitas vezes usando VBScripts altamente ocultos, comandos do PowerShell ocultos, arquivos de extração automática, arquivos de atalho do Windows (LNK) ou uma combinação desses. O Aqua Blizzard (ACTINIUM) depende frequentemente de tarefas agendadas nesses scripts para manter a persistência.
O Aqua Blizzard (ACTINIUM) também implanta ferramentas como o Pterodo, uma família de malware em constante evolução, para obter acesso interativo a redes-alvo, manter a persistência e coletar informações. Em alguns casos, ele também implementou o UltraVNC, um utilitário de software de área de trabalho remota, para permitir uma conexão mais interativa com um alvo. O Aqua Blizzard (ACTINIUM) emprega uma variedade de famílias de malware, incluindo DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry e PowerPunch. O Aqua Blizzard (ACTINIUM) é rastreado por outras empresas de segurança como Gamaredon, Armageddon, Primitive Bear e UNC530.