O ator que a Microsoft monitoriza como Aqua Blizzard (ACTINIUM) é um grupo de atividades de estado-nação baseado na Rússia. O governo ucraniano atribuiu publicamente este grupo ao Serviço de Segurança Federal (FSB) russo. O Aqua Blizzard (ACTINIUM) visa principalmente organizações na Ucrânia, incluindo entidades governamentais, militares, organizações não governamentais, judiciário, forças de segurança e organizações sem fins lucrativos, bem como entidades relacionadas a assuntos Ucranianos. O Aqua Blizzard (ACTINIUM) concentra-se em espionagem e transferência não autorizada de informações confidenciais. As táticas do Aqua Blizzard (ACTINIUM) evoluem constantemente e abrangem vários procedimentos e técnicas avançados. O ator utiliza principalmente e-mails de spear-phishing com anexos maliciosos que contêm um payload de primeira fase que transfere e lança payloads adicionais. O ator utiliza uma variedade de ferramentas e malware personalizados para alcançar os seus objetivos, utilizando muitas vezes VBScripts altamente ofuscados, comandos do PowerShell ofuscados, arquivos que se extraem a si mesmos, ficheiros de atalho do Windows (LNK) ou uma combinação destes. O Aqua Blizzard (ACTINIUM) conta frequentemente com tarefas agendadas nestes scripts para manter persistência.
O Aqua Blizzard (ACTINIUM) também implementa ferramentas como o Pterodo, uma família de malware em constante evolução, para obter acesso interativo para redes, manter persistência e obter inteligência. Nalguns casos, também implementam UltraVNC, um utilitário de software de ambiente de trabalho remoto, para possibilitar uma ligação mais interativa com um alvo. O Aqua Blizzard (ACTINIUM) recorre a uma variedade de famílias de malware, incluindo DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry e PowerPunch. O Aqua Blizzard (ACTINIUM) é monitorizado por outras empresas de segurança, como Gamaredon, Armageddon, Primitive Bear e UNC530.