Microsoft が Aqua Blizzard (ACTINIUM) として追跡しているアクターは、ロシアを拠点とする国家主導型の活動グループです。ウクライナ政府は、このグループはロシア連邦保安庁 (FSB) に属していると公言しています。Aqua Blizzard (ACTINIUM) は、ウクライナの政府機関、軍、非政府組織、司法、法執行機関、非営利団体など、ウクライナ情勢に関連する組織を主な標的としていることが知られています。Aqua Blizzard (ACTINIUM) は、スパイ活動や機密情報の流出に重点を置いています。Aqua Blizzard (ACTINIUM) の戦術は常に進化しており、多くの高度なテクニックと手順が含まれています。このアクターは主に、さらにペイロードをダウンロードして起動する第一段階のペイロードを含んだ、悪意のある添付ファイル付きのスピアフィッシング メールを使用することが知られています。このアクターは、目的を達成するためにさまざまなカスタム ツールやマルウェアを使用し、多くの場合、高度に難読化された VBScripts、難読化された PowerShell コマンド、自己解凍型アーカイブ、Windows ショートカット (LNK) ファイル、またはこれらの組み合わせを使用します。Aqua Blizzard (ACTINIUM) は、これらのスクリプト内のスケジュール済みタスクを頻繁に使用して、持続性を維持しています。
また、Aqua Blizzard (ACTINIUM) は、絶えず進化するマルウェア ファミリのひとつである Pterodo のようなツールを展開し、標的のネットワークへの対話型のアクセスを獲得し、持続性を維持し、インテリジェンスを収集しています。一部のケースでは、UltraVNC (リモート デスクトップ ソフトウェア ユーティリティ) も展開し、標的へのより対話型の接続を実現しています。Aqua Blizzard (ACTINIUM) は、DinoTrain、DesertDown、DilongTrash、ObfuBerry、ObfuMerry、PowerPunch など、さまざまなマルウェア ファミリを採用しています。Aqua Blizzard (ACTINIUM) は、Gamaredon、Armageddon、Primitive Bear、UNC530 として他のセキュリティ会社から追跡されています。