ผู้ดำเนินการที่ Microsoft ติดตามในชื่อ Aqua Blizzard (ACTINIUM) เป็นกลุ่มกิจกรรมที่กำกับโดยรัฐซึ่งดำเนินกิจกรรมนอกรัสเซีย รัฐบาลยูเครนเปิดเผยต่อสาธารณะว่ากลุ่มนี้มีส่วนเกี่ยวข้องกับหน่วยความมั่นคงกลางของรัสเซีย (FSB) Aqua Blizzard (ACTINIUM) มีชื่อเสียงจากการมุ่งเป้าโจมตีองค์กรในยูเครนเป็นหลัก รวมถึงหน่วยงานรัฐบาล การทหาร องค์การนอกภาครัฐ ตุลาการ การบังคับใช้กฎหมาย และองค์กรไม่แสวงหาผลกำไร รวมถึงหน่วยงานที่เกี่ยวข้องกับกิจการของยูเครน Aqua Blizzard (ACTINIUM) มุ่งเน้นไปที่การจารกรรมและการลักลอบถ่ายโอนข้อมูลที่ละเอียดอ่อน กลยุทธ์ของ Aqua Blizzard (ACTINIUM) มีการพัฒนาอย่างต่อเนื่องและครอบคลุมเทคนิคและขั้นตอนขั้นสูงในหลากหลายรูปแบบ เป็นที่ทราบกันดีว่าผู้ดำเนินการจะใช้อีเมลสเปียร์ฟิชชิ่งเป็นหลัก พร้อมไฟล์แนบที่เป็นอันตรายซึ่งมีเพย์โหลดขั้นแรกที่จะดาวน์โหลดและเปิดใช้เพย์โหลดเพิ่มเติม ผู้ดำเนินการใช้เครื่องมือและมัลแวร์แบบกำหนดเองที่หลากหลายเพื่อให้บรรลุวัตถุประสงค์ของตน โดยมักจะใช้ VBScripts ที่สร้างความสับสนอย่างมาก, คำสั่ง PowerShell ที่สร้างความสับสน, การเก็บถาวรที่แตกไฟล์ด้วยตนเอง, ไฟล์ทางลัดของ Windows (LNK) หรือทั้งสองอย่างรวมกัน Aqua Blizzard (ACTINIUM) มักพึ่งพาการทำงานที่กำหนดเวลาไว้ในสคริปต์เหล่านี้เพื่อรักษาการคงอยู่
Aqua Blizzard (ACTINIUM) ยังปรับใช้เครื่องมือต่างๆ เช่น Pterodo ซึ่งเป็นกลุ่มมัลแวร์ที่มีการพัฒนาอย่างต่อเนื่อง เพื่อเข้าถึงเครือข่ายเป้าหมายแบบโต้ตอบ รักษาการคงอยู่ และรวบรวมข้อมูลข่าวกรอง ในบางกรณี พวกเขายังปรับใช้ UltraVNC ซึ่งเป็นโปรแกรมซอฟต์แวร์เดสก์ท็อประยะไกล เพื่อเปิดใช้งานการเชื่อมต่อแบบโต้ตอบมากขึ้นกับเป้าหมายอีกด้วย Aqua Blizzard (ACTINIUM) ปรับใช้กลุ่มมัลแวร์หลากหลายประเภท รวมถึง DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry และ PowerPunch บริษัทด้านการรักษาความปลอดภัยอื่นๆ เช่น Gamaredon, Armageddon, Primitive Bear และ UNC530 ต่างติดตาม Aqua Blizzard (ACTINIUM) ด้วยเช่นกัน