Akter kojeg je Microsoft označio kao „Aqua Blizzard“ („ACTINIUM“) predstavlja grupu aktivnosti nacionalne države sa sedištem u Rusiji. Vlada Ukrajine je javno pripisala ovu grupu Ruskoj saveznoj bezbednosnoj službi (FSB). Poznato je da „Aqua Blizzard“ („ACTINIUM“) pre svega targetira organizacije u Ukrajini, kao što su Vladini subjekti, vojska, nevladine organizacije, pravosuđe, organe zadužene za sprovođenje zakona i neprofitne subjekte, kao i subjekte koji se bave ukrajinskim pitanjima. „Aqua Blizzard“ („ACTINIUM“) se fokusira na špijunažu i eksfiltraciju osetljivih informacija. Taktike aktera „Aqua Blizzard“ („ACTINIUM“) stalno napreduju i obuhvataju brojne napredne tehnike i procedure. Poznato je da taj akter pre svega koristi e-poruke za ciljani phishing sa zlonamernim prilozima koji sadrže korisne podatke prve faze koji se preuzimaju i pokreću dodatne korisne podatke. Taj akter koristi razne prilagođene alatke i zlonamerne softvere za postizanje ciljeva, često koristeći veoma maskirane VB skripte, maskirane komande za PowerShell, arhive koje se same izdvajaju, datoteke prečica za Windows (LNK) ili kombinaciju navedenog. „Aqua Blizzard“ („ACTINIUM“) se često oslanja na zakazane zadatke u tim skriptama radi održavanja istrajnosti.
„Aqua Blizzard“ („ACTINIUM“) primenjuje i alatke kao što je Pterodo, porodicu zlonamernih softvera koja se stalno razvija, za interaktivni pristup ciljnim mrežama, održavanje istrajnosti i skupljanje informacija. U nekim slučajevima koristi i UltraVNC, uslužni program udaljene radne površine, za omogućavanje interaktivnije veze sa metom. „Aqua Blizzard“ („ACTINIUM“) koristi razne porodice zlonamernih softvera, među kojima su i DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry i PowerPunch. Aktera „Aqua Blizzard“ („ACTINIUM“) prate i druge bezbednosne kompanije, kao što su Gamaredon, Armageddon, Primitive Bear i UNC530.