Microsoft 追蹤的行為者 Aqua Blizzard (ACTINIUM) 是一個位於俄羅斯的國家/地區活動組織。烏克蘭政府已公開將該組織歸屬於俄羅斯聯邦安全局 (FSB)。Aqua Blizzard (ACTINIUM) 主要針對的目標是烏克蘭的組織,包括政府部門、軍隊、非政府組織、司法機構、執法部門和非營利組織,以及與烏克蘭事務相關的部門。Aqua Blizzard (ACTINIUM) 專注於間諜活動和敏感性資訊的外洩。Aqua Blizzard (ACTINIUM) 的戰略正在不斷演進,並包含許多先進的技術和程式。已知此攻擊者主要使用帶有惡意附件的魚叉式網路釣魚電子郵件,包含下載第一階段承載和啟動更多的承載。行為者使用各種自訂工具和惡意程式碼來實現目標,通常使用嚴重混淆的 VBScript、混淆的 PowerShell 命令、自我解壓縮檔、Windows 捷徑 (LNK) 檔案或這些檔案的組合。Aqua Blizzard (ACTINIUM) 通常依賴指令碼中的排程任務來保持持久性。
Aqua Blizzard (ACTINIUM) 還部署了 Pterodo (一個不斷演進的惡意程式碼系列) 等工具,用來獲得對目標網路的互動式存取、保持持久性和收集情報。在某些情況下,他們還部署了 UltraVNC (一種遠端桌面軟體公用程式),企圖與目標建立互動式連接。Aqua Blizzard (ACTINIUM) 使用各種惡意程式碼系列,包括 DinoTrain、DesertDown、DilongTrash、ObfuBerry、ObfuMerry 和 PowerPunch。Aqua Blizzard (ACTINIUM) 也受到其他安全性公司的追蹤,也稱為 Gamaredon、Armageddon、Primitive Bear 和 UNC530。