Open Source Signal #001 / Сигнал відкритих джерел

Editorial frame

What this is: A daily editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, marketplace guides or ‘find anyone by phone number’ circus tricks. The circus has been cancelled; the clowns are in procurement.

Rubric map

📡 Signal One

🤖 AI Verification

🛰️ Surveillance Watch

🛡️ Investigator OPSEC

🗺️ Map Room

🔎 Platform Watch

📁 Casefile

📡Signal OneГоловний сигнал

#01

Foreign-interference probe moves from “bot noise” to political-service infrastructure

Source: Reuters · 13 May 2026

What happened

French authorities are examining whether an alleged influence campaign targeting three France Unbowed municipal candidates was connected to an obscure firm called BlackCore. Reuters reports the operation used deceptive websites, social accounts and digital ads; Meta removed a related network for coordinated inauthentic behavior and said the activity originated in Israel and primarily targeted France.

Why it matters

This is a useful model case for election OSINT: the interesting layer is not only fake accounts, but the service ecosystem around them — websites, ads, platform enforcement, political timing, and cross-border attribution limits.

How to use it

Track campaigns as infrastructure bundles: domains, ad placements, QR-code distribution, platform takedowns, candidate complaints, and official regulator language. Keep attribution tiers separate: observed behavior, platform attribution, government investigation, and vendor identity.

Limits

Reuters could not independently establish who was behind BlackCore or verify where it was based. Treat firm attribution as under investigation, not settled fact.

Розслідування іноземного втручання: не “боти”, а ціла сервісна інфраструктура

Джерело: Reuters · 13 травня 2026

Що сталося

Французькі органи перевіряють, чи була кампанія проти трьох кандидатів France Unbowed пов’язана з маловідомою структурою BlackCore. За даними Reuters, у кампанії були фейкові сайти, соцмережеві акаунти й цифрова реклама; Meta видалила пов’язану мережу за coordinated inauthentic behavior і заявила, що активність походила з Ізраїлю та була спрямована переважно на Францію.

Чому це важливо

Для дослідника це хороший приклад, де кампанія впливу складається не з одного поста, а з екосистеми: домени, реклама, QR-коди, платформи, політичний календар, реакція кандидатів і межі атрибуції.

Як це застосувати

Будувати таймлайн і карту інфраструктури окремо від політичних висновків. Фіксувати, хто саме що підтвердив: платформа, журналісти, кандидат, регулятор, прокуратура.

Обмеження

Особу замовника і реальну юрисдикцію BlackCore не встановлено незалежно. Не варто перетворювати підозру на остаточну атрибуцію.

electionsforeign interferenceplatformsdisinformationFranceCIB

🤖AI VerificationШІ та верифікація

#02

AI-assisted cyber operations are becoming a verification problem, not just a security problem

Source: Google Threat Intelligence Group · 11 May 2026

What happened

Google’s Threat Intelligence Group says it is seeing a transition from early AI-enabled threat activity to industrial-scale use of generative models in adversary workflows. The report covers AI use for vulnerability exploitation, initial access, infrastructure acquisition, proxy relay services, automated account creation, and malware-related workflows.

Why it matters

Investigators will increasingly face AI-assisted traces: generated code, automated account infrastructure, synthetic personas, AI-written phishing lures, and toolchains that blend ordinary SaaS with hostile automation.

How to use it

Add an AI-assistance hypothesis to technical investigations, but do not use it as a shortcut. Look for repeatable indicators: infrastructure reuse, model/API traces, automation artifacts, prompt-like logs, account-creation patterns, and operational tempo that exceeds normal manual work.

Limits

The report is from a major platform and security vendor with deep visibility into its own ecosystem, not a universal map of all adversary behavior. Avoid overgeneralizing every automated artifact as AI.

AI в кібератаках: проблема вже не лише для SOC, а й для верифікаторів

Джерело: Google Threat Intelligence Group · 11 травня 2026

Що сталося

Google описує перехід від ранніх експериментів до масштабнішого використання генеративних моделей у ворожих операціях: пошук вразливостей, первинний доступ, проксі-інфраструктура, автоматизована реєстрація акаунтів, допоміжні malware-процеси.

Чому це важливо

OSINT і threat intelligence дедалі частіше бачитимуть не чисто людську або чисто ботну поведінку, а гібриди: SaaS, LLM, проксі, скрипти, одноразові акаунти й людський контроль поверх автоматизації.

Як це застосувати

У розборі інциденту додавати окремий шар: які ознаки можуть свідчити про AI-assisted workflow, а які — про звичайну автоматизацію. Не називати AI причиною без технічних індикаторів.

Обмеження

Це видимість Google/GTIG, а не повний зріз усіх операцій. ШІ не має ставати чарівним поясненням у стилі середньовічного єпископа з PowerPoint.

AI verificationthreat intelligencecyberautomationinvestigations

🛰️Surveillance WatchІнфраструктура стеження

#03

Spyware is only the visible tip of the surveillance marketplace

Source: Citizen Lab · 13 May 2026

What happened

Citizen Lab published notes from Ron Deibert’s OSCE intervention on civil space in the digital age. Deibert framed mercenary spyware as the sharp point of the spear of a broader, largely unregulated surveillance marketplace rooted in the personal-data economy, and called for democratic oversight rather than national-security exemptions.

Why it matters

For OSINT readers, this widens the lens: spyware, adtech location data, data brokers, telecom exploitation, and private intelligence services should be studied as connected markets, not separate scandals.

How to use it

When covering surveillance, map the supply chain: data source, broker/vendor, buyer, legal authority, target class, oversight mechanism, and remedy. Separate targeted compromise from bulk behavioral surveillance.

Limits

This is a policy intervention, not a new forensic case report. Pair it with technical reporting before making claims about a specific tool or vendor.

Spyware — лише видима частина ринку стеження

Джерело: Citizen Lab · 13 травня 2026

Що сталося

Citizen Lab опублікувала повідомлення про виступ Рона Дейберта щодо громадянського простору в цифрову епоху. Його головна рамка: mercenary spyware — це тільки вістря значно ширшого, слабко регульованого ринку стеження, пов’язаного з економікою персональних даних.

Чому це важливо

Для редакції це нагадування: не варто звужувати тему стеження до зламу телефону. Є ще рекламні ідентифікатори, брокери даних, телеком-інтерконект, приватні підрядники й державні винятки заради безпеки.

Як це застосувати

У кожній історії про surveillance ставити однакові питання: звідки дані, хто продав, хто купив, на якій правовій підставі, кого зачепило, який механізм оскарження.

Обмеження

Це політична й правозахисна рамка, не нова технічна атрибуція конкретної атаки.

surveillancespywaredata brokerscivil societypolicy

🛡️Investigator OPSECБезпека дослідника

#04

Movement data is now both an evidence layer and an exposure risk

Source: OSINT Field Notes #8 · 13 May 2026

What happened

The latest OSINT Field Notes highlights investigations using phone-location data, Wi-Fi names, satellite imagery, flight tracking and open-source reporting, while warning that the same movement-data pipelines can be purchased by surveillance vendors, private intelligence firms and repressive states.

Why it matters

Location data is no longer just a lead source. It is also a threat model for journalists, researchers, exile communities, conflict investigators and sources.

How to use it

Treat mobile advertising IDs, location permissions, Wi-Fi/Bluetooth exposure and travel patterns as part of investigator OPSEC. For stories using movement data, include a harm review: who could be exposed if the method is replicated?

Limits

Newsletter summaries point to broader cases; verify the original underlying investigations before citing specific routes, actors or datasets.

Дані про переміщення: доказовий шар і ризик для дослідника одночасно

Джерело: OSINT Field Notes #8 · 13 травня 2026

Що сталося

Випуск зібрав приклади розслідувань, де поєднуються телефонні location data, Wi-Fi-назви, супутникові знімки, авіатрекінг і відкриті джерела. Але ключове попередження: ці самі канали можуть купувати surveillance-вендори, приватні розвідкомпанії та репресивні держави.

Чому це важливо

Дані про рух людей — це вже не тільки корисний доказ. Це ще й поверхня атаки проти журналістів, дослідників, джерел і людей у вигнанні.

Як це застосувати

Перед польовою роботою перевіряти рекламний ID, дозволи застосунків, Wi-Fi/Bluetooth, резервні телефони, патерни подорожей. Перед публікацією — оцінювати, чи не розкриває методика шлях до повторної ідентифікації вразливих людей.

Обмеження

Для конкретних тверджень треба йти до першоджерел кейсів, а не цитувати лише дайджест.

OPSEClocation dataadtechmovement analysisresearcher safety

🗺️Map RoomКартографічна кімната

#05

Open SAR damage mapping remains useful when optical imagery and ground reporting are constrained

Source: Bellingcat · 7 Apr 2026

What happened

Bellingcat introduced the Iran Conflict Damage Proxy Map, an open tool using Sentinel-1 SAR data and a Pixel-Wise T-Test method to flag likely building damage across Iran and the Gulf. Bellingcat stresses that flagged damage is not definitive and should be corroborated with Sentinel-2, commercial imagery, geolocated visuals or other sources.

Why it matters

It is a practical example of transparent, repeatable geospatial triage when commercial imagery is limited, delayed or restricted.

How to use it

Use SAR proxy alerts to narrow search areas, then verify with optical imagery, ground videos, official claims, weather/cloud context, and temporal consistency. Preserve screenshots, coordinates, timestamps and comparison imagery.

Limits

It is not real-time and updates roughly once or twice per week. It detects probability signals, not confirmed destruction.

SAR-картографування допомагає, коли оптичні знімки й репортажі з місця обмежені

Джерело: Bellingcat · 7 квітня 2026

Що сталося

Bellingcat представив Iran Conflict Damage Proxy Map — інструмент на основі Sentinel‑1 SAR і Pixel-Wise T-Test, який підсвічує ймовірні пошкодження будівель в Ірані та регіоні Затоки.

Чому це важливо

Це не магічна карта руйнувань, а якісний інструмент первинного відбору місць для перевірки, особливо коли комерційні знімки недоступні або запізнюються.

Як це застосувати

Брати SAR-сигнал як lead, а не як доказ. Далі — Sentinel‑2, комерційні знімки, геолоковані відео, офіційні заяви, погодні умови, часовий ряд.

Обмеження

Дані оновлюються не в реальному часі; висока ймовірність на карті не дорівнює підтвердженому удару чи руйнуванню.

GEOINTSARsatellite imagerydamage assessmentIran

🔎Platform WatchПлатформний радар

#06

Obfuscated platform signals can sustain extremist branding without explicit claims

Source: Graphika · 5 May 2026

What happened

Graphika analyzed a sample of 100 TikTok accounts reviewed between April 5 and April 15, 2026, finding recurring textual, visual and audio signals associated with support for CJNG. The report emphasizes that open sources did not prove the accounts were operated by CJNG members, but the recurring coded indicators may help boost cartel identity and content circulation.

Why it matters

Platform research increasingly depends on weak signals: emojis, songs, gestures, coded names, visual aesthetics and mutual followers. Those signals can be meaningful at network scale while remaining ambiguous at account level.

How to use it

Build pattern libraries, but label confidence carefully. Separate supportive signaling, possible affiliation, coordination, and direct membership. Avoid amplifying recruitment language or operational details.

Limits

The public page summarizes findings but the full report requires access. Do not infer direct cartel control of accounts from coded aesthetics alone.

Закодовані сигнали на платформах можуть підтримувати бренд без прямої заяви

Джерело: Graphika · 5 травня 2026

Що сталося

Graphika проаналізувала 100 TikTok-акаунтів і описала повторювані текстові, візуальні та аудіоознаки, пов’язані з підтримкою CJNG. Водночас дослідники прямо зазначають: відкриті джерела не доводять, що акаунти ведуть члени CJNG.

Чому це важливо

На платформах важливими стають слабкі сигнали: емодзі, пісні, жести, скорочення, стиль відео, взаємні підписки. На рівні мережі вони можуть щось показувати, але на рівні одного акаунта легко помилитися.

Як це застосувати

Створювати бібліотеку патернів і рівнів упевненості. Окремо маркувати: естетика підтримки, можлива афіліація, координація, прямий зв’язок. Не відтворювати рекрутингові формули й не давати інструктивних деталей.

Обмеження

Публічна сторінка — це короткий виклад, не повний звіт. Символіка не дорівнює членству.

platform researchTikTokextremismcoded languagenetwork analysis

📁CasefileРозбір кейсу

#07

Public posts, tattoos and network context: useful, but legally and ethically sharp

Source: Bellingcat · 11 May 2026

What happened

Bellingcat and Cerosetenta examined public social media material, visible tattoos, follows and likes, group symbols and international far-right network context to assess links between a Colombian political figure and Active Club Bogota. The article also documents right-of-reply exchanges and legal threats from people contacted.

Why it matters

It is a strong tradecraft case because it shows both method and caution: visual comparison, platform context, public-interest framing, right of reply, and restraint around amplification.

How to use it

Use this as a checklist for public-interest extremist-network investigations: evidentiary screenshots, archived posts, visible identifiers, expert context, response requests, and explicit no-evidence boundaries where appropriate.

Limits

Do not generalize tattoo or follow/like evidence beyond the exact claim it supports. Avoid naming private individuals unless there is clear public interest and editorial/legal review.

Публічні пости, татуювання й мережевий контекст: корисно, але гостро як алебарда

Джерело: Bellingcat · 11 травня 2026

Що сталося

Bellingcat і Cerosetenta використали публічні матеріали соцмереж, видимі татуювання, підписки/лайки, символіку груп і міжнародний контекст ультраправих мереж, щоб перевірити зв’язки колумбійського політичного діяча з Active Club Bogota.

Чому це важливо

Це не просто знайшли фото. Кейс показує повний редакційний контур: візуальне зіставлення, архівація, контекст платформи, запити на коментар, юридичні ризики й чіткі межі тверджень.

Як це застосувати

Як чеклист для розслідувань про екстремістські мережі: що видно публічно, що архівовано, що підтверджує лише слабкий зв’язок, де потрібен експерт, кому надсилали right of reply.

Обмеження

Лайк, підписка або татуювання не мають доводити все. Для приватних осіб — максимальна обережність, мінімізація імен, сильний суспільний інтерес і редакційний перегляд.

casefilefar rightvisual verificationpublic interestethics