Джерело загрози, яке корпорація Майкрософт відстежує під назвою Aqua Blizzard (ACTINIUM), є групою дій, яка базується в Росії й має підтримку з боку держави. Український уряд публічно повʼязав цю групу з Федеральною службою безпеки Росії (ФСБ). Група Aqua Blizzard (ACTINIUM) відома атаками, спрямованими в основному проти організацій в Україні, включно з державними установами, військовими й неурядовими організаціями, судовою системою, правоохоронними органами та некомерційними організаціями, а також проти субʼєктів, пов’язаних з українськими справами. Діяльність Aqua Blizzard (ACTINIUM) зосереджена на шпигунстві й викраденні конфіденційної інформації. Тактики Aqua Blizzard (ACTINIUM) постійно змінюються та включають у себе безліч передових методів і процедур. Відомо, що ця група використовує переважно електронні листи цільового фішингу зі шкідливими вкладеннями, що містять корисні дані першого етапу, які завантажують і запускають подальші корисні дані. Зловмисники використовують для досягнення своїх цілей різноманітні спеціальні інструменти та зловмисні програми, часто застосовуючи ретельно приховані сценарії VBScript, приховані команди PowerShell, архіви, що самостійно видобуваються, файли ярликів Windows (LNK) або комбінацію цих елементів. Aqua Blizzard (ACTINIUM) часто використовує заплановані завдання в цих сценаріях, щоб підтримувати присутність у системі.
Aqua Blizzard (ACTINIUM) також розгортає такі інструменти, як Pterodo (сімейство зловмисних програм, що постійно розвивається), щоб отримати інтерактивний доступ до цільових мереж, підтримувати присутність у них і збирати інформації. У деяких випадках група також розгортає UltraVNC (утиліту для віддаленого робочого столу), щоб досягти більш інтерактивного підключення до цільової мережі. Aqua Blizzard (ACTINIUM) використовує різні сімейства зловмисних програм, зокрема DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry та PowerPunch. Групу Aqua Blizzard (ACTINIUM) відстежують інші компанії, що працюють у галузі безпеки, під такими назвами: Gamaredon, Armageddon, Primitive Bear і UNC530.