Aktér, ktorého spoločnosť Microsoft sleduje ako Aqua Blizzard (ACTINIUM), je štátna vyvíjajúca aktivity na úrovni národného štátu so sídlom v Rusku. Ukrajinská vláda túto skupinu verejne pripisuje ruskej Federálnej bezpečnostnej službe (FSB). O skupine Aqua Blizzard (ACTINIUM) je známe, že sa zameriava predovšetkým na organizácie na Ukrajine vrátane vládnych subjektov, armády, mimovládnych organizácií, súdov, orgánov činných v trestnom konaní a neziskových organizácií, ako aj na subjekty súvisiace s ukrajinskými záležitosťami. Skupina Aqua Blizzard (ACTINIUM) sa zameriava na špionáž a exfiltráciu citlivých informácií. Taktika skupiny Aqua Blizzard (ACTINIUM) sa neustále vyvíja a zahŕňa množstvo pokročilých techník a postupov. O tomto aktérovi je známe, že využíva najmä spear-phishingové e-maily so škodlivými prílohami, ktoré obsahujú prvostupňový kód, ktorý stiahne a spustí ďalšie kódy. Aktér používa na dosiahnutie svojich cieľov rôzne vlastné nástroje a škodlivý softvér, často pomocou silne obfuskovaných skriptov VBS, obfuskovaných príkazov PowerShell, samorozbaľovacích archívov, súborov odkazov systému Windows (LNK) alebo ich kombináciou. Skupina Aqua Blizzard (ACTINIUM) sa často spolieha na naplánované úlohy v týchto skriptov na udržanie perzistencie.
Aqua Blizzard (ACTINIUM) využíva aj nástroje ako Pterodo – neustále sa vyvíjajúcu rodinu malvéru – na získanie interaktívneho prístupu do cieľových sietí, udržiavanie perzistencie a zhromažďovanie spravodajských informácií. V niektorých prípadoch nasadzuje aj UltraVNC - softvérový nástroj pre vzdialenú pracovnú plochu, ktorý umožňuje interaktívnejšie pripojenie k cieľu. Aqua Blizzard (ACTINIUM) používa rôzne rodiny malvéru vrátane DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry a PowerPunch. Skupinu Aqua Blizzard (ACTINIUM) sledujú iné spoločnosti zaoberajúce sa zabezpečením, ako napríklad Gamaredon, Armageddon, Primitive Bear a UNC530.