Tác nhân mà Microsoft theo dõi với tên Aqua Blizzard (ACTINIUM) là một nhóm hoạt động được nhà nước hậu thuẫn có trụ sở tại Nga. Chính phủ Ukraina đã công khai quy kết nhóm này cho Cơ quan An ninh Liên bang Nga (FSB). Aqua Blizzard (ACTINIUM) có tiếng là chủ yếu nhắm mục tiêu vào các tổ chức ở Ukraina bao gồm các cơ quan chính phủ, quân đội, tổ chức phi chính phủ, bộ máy tư pháp, cơ quan hành pháp và tổ chức phi lợi nhuận, cũng như các tổ chức liên quan đến các vấn đề của Ukraina. Aqua Blizzard (ACTINIUM) tập trung vào hoạt động gián điệp và lấy cắp thông tin nhạy cảm. Chiến thuật của Aqua Blizzard (ACTINIUM) không ngừng phát triển và bao gồm vô số kỹ thuật và quy trình tiên tiến. Tác nhân này chủ yếu sử dụng các email lừa đảo qua mạng có tệp đính kèm độc hại chứa tải trọng giai đoạn đầu để tải xuống và khởi chạy các tải trọng tiếp theo. Tác nhân này sử dụng nhiều công cụ tùy chỉnh và phần mềm xấu để đạt được mục đích, thường sử dụng các VBScript và các lệnh PowerShell bị xáo trộn nghiêm trọng, các kho lưu trữ tự giải nén, các tệp lối tắt Windows (LNK) hoặc kết hợp những thứ này. Aqua Blizzard (ACTINIUM) thường xuyên dựa vào các tác vụ đã lên lịch trong các tập lệnh này để duy trì sự liên tục.
Aqua Blizzard (ACTINIUM) cũng triển khai các công cụ như Pteodo – một dòng phần mềm xấu không ngừng phát triển – để giành được quyền truy nhập tương tác vào các mạng mục tiêu, duy trì sự liên tục và thu thập thông tin. Trong một số trường hợp, bọn chúng còn triển khai UltraVNC – một tiện ích phần mềm máy tính từ xa – để cho phép kết nối tương tác nhiều hơn với mục tiêu. Aqua Blizzard (ACTINIUM) sử dụng nhiều dòng phần mềm xấu bao gồm DinoTrain, DesertDown, DilongTrash, ObfuBerry, ObfuMerry và PowerPunch. Aqua Blizzard (ACTINIUM) bị các công ty bảo mật khác theo dõi, như Gamaredon, Armageddon, Primitive Bear và UNC530.