Microsoft’un izini sürdüğü ve Aqua Blizzard (ACTINIUM) olarak bilinen aktör, genellikle faaliyetlerini Rusya’nın dışından yürüten devlet destekli bir etkinlik grubudur. Ukrayna devleti, bu grubun Rusya Federal Güvenlik Servisi (FSB) ile ilişkili olduğunu paylaştı. Aqua Blizzard (ACTINIUM) grubunun öncelikli hedefinin, devlet kurumları, ordu, sivil toplum örgütleri, yargı, emniyet güçleri ve kar amacı gütmeyen kurumlar dahil olmak üzere Ukrayna’daki kurumlar ve Ukrayna ilişkileriyle ilgili kurumlar olduğu bilinmektedir. Aqua Blizzard (ACTINIUM), casusluk ve hassas bilgilerin dışarı sızdırılması faaliyetlerine odaklanıyor. Aqua Blizzard (ACTINIUM) tarafından uygulanan taktikler her geçen gün değişmekle birlikte gelişmiş bir takım teknik ve prosedürleri kapsıyor. Aktörün esas olarak kötü amaçlı eklerin yer aldığı hedefli kimlik avı e-postaları kullandığı ve bu eklerde, indirildikten sonra başka zararlı yükleri de beraberinde getiren ilk aşama zararlı yükün bulunduğu bilinmektedir. Aktör, amacına ulaşmak için çeşitli özel araç ve kötü amaçlı yazılımlar, genellikle büyük oranda karartılmış VBScript’lerini, karartılmış PowerShell komutlarını, kendiliğinden açılan arşivleri, Windows kısayol (LNK) dosyalarını veya bunların tamamını kullanmaktadır. Aqua Blizzard’ın (ACTINIUM) faaliyetleri, genellikle süreklilik sağlamak için bu betiklerde zamanlanmış görevlere bağlıdır.
Ayrıca Aqua Blizzard (ACTINIUM), hedef ağlara interaktif erişim sağlayıp sürekliliği devam ettirmek ve bilgi toplamak için sürekli geliştirilmekte olan kötü amaçlı yazılım ailesi olarak Pterodo gibi araçları dağıtır. Bazı durumlarda, hedefle daha interaktif bir bağlantı kurabilmek için uzak masaüstü yazılım yardımcı programı olan UltraVNC’yi dağıtır. Aqua Blizzard (ACTINIUM), DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry ve PowerPunch gibi birçok kötü amaçlı yazılım ailesini kullanıyor. Aqua Blizzard (ACTINIUM), Gamaredon, Armageddon, Primitive Bear ve UNC530 gibi başka güvenlik şirketleri tarafından izlenmektedir.