Actorul pe care Microsoft îl urmărește sub numele de Aqua Blizzard (ACTINIUM) este un grup de activități al unui stat național cu sediul în Rusia. Guvernul ucrainean a atribuit în mod public acest grup Serviciului Federal de Securitate rus (FSB). Aqua Blizzard (ACTINIUM) este caracterizat prin faptul că vizează în principal organizații din Ucraina, inclusiv entități guvernamentale, militare, organizații non-guvernamentale, judiciare, autorități de aplicare a legii și organizații non-profit, precum și alte entități conexe afacerilor ucrainene. Aqua Blizzard (ACTINIUM) se concentrează pe spionaj și exfiltrarea de informații confidențiale. Tacticile practicate de Aqua Blizzard (ACTINIUM) sunt în continuă evoluție și cuprind o multitudine de tehnici și proceduri avansate. Se știe că actorul utilizează în principal e-mailuri de phishing țintit cu fișiere atașate rău intenționate care conțin o sarcină de primă fază care descarcă și lansează alte sarcini. Actorul utilizează o varietate de instrumente și programe malware personalizate pentru a-și atinge obiectivele, recurgând adesea la scripturi VBScripts foarte bine ascunse, la comenzi PowerShell ascunse, la arhive care se extrag singure, la fișiere cu comenzi rapide Windows (LNK) sau la o combinație a acestora. Aqua Blizzard (ACTINIUM) se bazează adesea pe activități planificate în aceste scripturi pentru a-și menține persistența.
De asemenea, Aqua Blizzard (ACTINIUM) implementează instrumente precum Pterodo, o familie de malware în continuă evoluție, pentru a obține un acces interactiv la rețele țintă, pentru a-și menține persistența și pentru a colecta informații. De asemenea, în anumite cazuri, aceștia implementează UltraVNC, un utilitar software de desktop la distanță, pentru a permite o conexiune mai interactivă cu ținta. Aqua Blizzard (ACTINIUM) utilizează o varietate de familii de malware, inclusiv DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry și PowerPunch. Aqua Blizzard (ACTINIUM) figurează în evidențele altor companii de securitate sub numele de Gamaredon, Armageddon, Primitive Bear și UNC530.