Open Source Signal #011 / Сигнал відкритих джерел

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

📡 Signal One

⚖️ War Crimes Verification

🕯️ Losses, Captivity & Missing

🔎 Platform Watch

🤖 AI Verification

📡Signal OneГоловний сигнал

#01

Kyiv’s Oreshnik attack needs a multi-layer strike-verification file

Source: AP News · 24 May 2026

What happened

AP reported that Russia used a hypersonic Oreshnik ballistic missile during a mass drone-and-missile attack on Kyiv and the wider Kyiv region. Ukrainian officials said the assault included 600 strike drones and 90 missiles, with damage across residential areas, schools, a market and sites near government buildings. AP reported at least two killed and 83 wounded, while Zelenskyy said the Oreshnik struck Bila Tserkva.

Why it matters

For accountability OSINT, this is a large strike package rather than a single munition story. The useful evidence file should keep missile type, drone-wave timing, interception claims, impact locations, civilian harm, debris imagery, shelter reports and later official updates as separate layers. The Oreshnik claim also raises the bar for munition verification because political signalling and technical evidence can easily collapse into one loud headline.

How to use it

Build an incident folder by location: Kyiv districts, Bila Tserkva and any other confirmed impact areas. Preserve air-alert times, Ukrainian Air Force summaries, geolocated footage, emergency-service posts, hospital and casualty updates, debris images, satellite or fire signals and later corrections. Mark every layer by confidence level instead of treating the whole attack as one verified block.

Limits

Do not publish live air-defense patterns, interception-site details, tactical route reconstructions or unverified munition claims. Early casualty and damage figures can change after rescue work and forensic inspection.

Удар по Києву з Oreshnik потребує багатошарового файлу верифікації

Джерело: AP News · 24 травня 2026

Що сталося

AP повідомило, що Росія застосувала гіперзвукову балістичну ракету Oreshnik під час масованої дроново-ракетної атаки по Києву та Київській області. За даними української сторони, атака включала 600 ударних дронів і 90 ракет, а пошкодження зафіксовані біля житлових будинків, шкіл, ринку та урядових об’єктів. AP повідомило щонайменше про двох загиблих і 83 поранених, а Зеленський заявив, що Oreshnik влучив по Білій Церкві.

Чому це важливо

Для accountability OSINT це не історія про один боєприпас, а великий пакет удару. Доказовий файл має окремо тримати тип ракети, таймінг хвиль дронів, заяви про перехоплення, місця влучань, шкоду цивільним, фото уламків, повідомлення про укриття та пізніші офіційні оновлення. Заява про Oreshnik піднімає планку перевірки, бо політичний сигнал і технічний доказ легко злипаються в один гучний заголовок.

Як це застосувати

Створюйте папку інциденту за локаціями: райони Києва, Біла Церква та інші підтверджені місця влучань. Зберігайте час тривог, зведення Повітряних сил, геолоковані відео, пости служб реагування, оновлення лікарень і даних про постраждалих, фото уламків, супутникові або fire-сигнали та подальші виправлення. Кожен шар позначайте рівнем упевненості, а не подавайте всю атаку як один перевірений блок.

Обмеження

Не публікуйте live-патерни ППО, деталі місць перехоплення, тактичні реконструкції маршруту або неперевірені твердження щодо типу боєприпасу. Ранні цифри жертв і пошкоджень можуть змінюватися після рятувальних робіт і криміналістичної перевірки.

strike-verificationoreshnikkyivcivilian-harmmunition-analysis

⚖️War Crimes VerificationВерифікація воєнних злочинів

#02

Starobilsk dormitory claims show why source-controlled forensics need confidence labels

Source: Reuters · 24 May 2026

What happened

Reuters reported from Russian-controlled Starobilsk during a media facility trip organized by Russia’s Foreign Ministry. Russian authorities said a Ukrainian drone attack destroyed a dormitory at a teacher-training college and put the death toll at 21. Ukraine denied responsibility, saying it had struck an elite drone command unit in the area and that its forces complied with international humanitarian law; Reuters said it could not independently verify what happened.

Why it matters

This is a difficult war-crimes verification environment: occupied territory, source-controlled access, competing military and civilian-harm claims, visible forensic activity and heavy propaganda incentives. The case is valuable because it forces investigators to separate physical observations from access conditions and from claims made by each side.

How to use it

Create a source-graded incident file: who controlled access, who made the claim, what was directly observed, what was inferred, what Ukraine denied, what imagery exists, what satellite or fire data can corroborate, and what later independent investigations say. Label Russian official statements, Ukrainian military statements and journalist observations as different evidence categories.

Limits

A media tour in occupied territory is not neutral access. Do not infer target status, intent or legal responsibility from one controlled scene. Avoid republishing identifiable victim material or emotionally staged content unless it is necessary and ethically justified.

Заяви щодо гуртожитку в Старобільську показують, навіщо source-controlled forensics потрібні рівні впевненості

Джерело: Reuters · 24 травня 2026

Що сталося

Reuters повідомило зі Старобільська, який перебуває під російським контролем, під час медійної поїздки, організованої МЗС РФ. Російська влада заявила, що український дроновий удар зруйнував гуртожиток педагогічного коледжу, і назвала 21 загиблого. Україна заперечила відповідальність, заявивши, що вразила елітний дроновий командний підрозділ у цьому районі й дотримується міжнародного гуманітарного права; Reuters зазначило, що не змогло незалежно перевірити, що сталося.

Чому це важливо

Це складне середовище для верифікації воєнних злочинів: окупована територія, контрольований доступ, конкуруючі заяви про військову ціль і цивільну шкоду, видима робота криміналістів і сильні пропагандистські стимули. Кейс важливий тим, що змушує розділяти фізичні спостереження, умови доступу та заяви кожної зі сторін.

Як це застосувати

Створіть source-graded incident file: хто контролював доступ, хто зробив заяву, що було безпосередньо побачено, що лише виведено з контексту, що заперечила Україна, які зображення існують, які супутникові або fire-дані можуть підтвердити подію і що скажуть пізніші незалежні розслідування. Російські офіційні заяви, українські військові заяви й журналістські спостереження треба маркувати як різні категорії доказів.

Обмеження

Медійна поїздка на окупованій території не є нейтральним доступом. Не можна виводити статус цілі, намір або юридичну відповідальність з однієї контрольованої сцени. Не перепубліковуйте ідентифікаційні матеріали жертв або емоційно постановочний контент без крайньої необхідності й етичного обґрунтування.

war-crimes-verificationoccupied-territoriessource-gradingstarobilskcivilian-harm

🕯️Losses, Captivity & MissingВтрати, полон, зниклі

#03

Families of missing Ukrainian soldiers challenge legal-death shortcuts

Source: AP News · 22 May 2026

What happened

AP reported that hundreds of Ukrainians marched in Kyiv against legislation that families fear could allow missing soldiers to be declared legally dead before their fate is fully confirmed. Ukraine’s commissioner for missing persons said more than 90,000 people are listed in the unified registry of persons missing under special circumstances. The register includes people who disappeared during combat, under occupation or as a result of armed aggression, with some cases dating back to 2014.

Why it matters

For losses, captivity and missing-person OSINT, this is a status-separation issue. “Missing,” “presumed dead,” “legally declared dead,” “POW,” “body returned,” “reported by relatives” and “officially confirmed” are not interchangeable labels. Collapsing them can harm families, distort statistics and contaminate future exchange or identification work.

How to use it

When building datasets, keep a status history rather than one final field. Record the source of each status change, the date, the issuing institution, whether the family disputes it, and whether there is forensic or documentary confirmation. Public outputs should use aggregated regional patterns and avoid exposing relatives.

Limits

Do not publish private family contacts, portraits, service details or personal documents from missing-person cases unless lawfully public and strictly necessary. Legal status changes are not proof of the person’s actual fate without supporting evidence.

Родини зниклих українських військових оскаржують поспішне юридичне визнання загибелі

Джерело: AP News · 22 травня 2026

Що сталося

AP повідомило, що сотні українців вийшли в Києві проти законодавства, яке, на думку родин, може дозволити визнавати зниклих військових юридично загиблими до повного встановлення їхньої долі. Уповноважений з питань осіб, зниклих безвісти за особливих обставин, заявив, що в єдиному реєстрі перебувають понад 90 тисяч людей. Реєстр охоплює зниклих під час бойових дій, в окупації або внаслідок збройної агресії, а частина випадків тягнеться ще з 2014 року.

Чому це важливо

Для OSINT щодо втрат, полону й зниклих це питання розділення статусів. «Зниклий», «ймовірно загиблий», «юридично визнаний загиблим», «полонений», «тіло повернули», «повідомлено родичами» й «офіційно підтверджено» не є взаємозамінними мітками. Їх змішування шкодить родинам, спотворює статистику й забруднює майбутню роботу з обмінами або ідентифікацією.

Як це застосувати

У датасетах варто зберігати історію статусів, а не одне фінальне поле. Фіксуйте джерело кожної зміни, дату, установу, яка її внесла, чи оскаржує це родина, і чи є криміналістичне або документальне підтвердження. У публічних матеріалах краще працювати з агрегованими регіональними патернами й не розкривати родичів.

Обмеження

Не публікуйте приватні контакти родин, портрети, службові деталі або особисті документи зі справ про зниклих, якщо вони не є законно публічними й справді необхідними. Зміна юридичного статусу не є доказом фактичної долі людини без підтверджувальних матеріалів.

missing-soldiersstatus-dataukrainefamiliescasualty-osint

🔎Platform WatchПлатформний радар

#04

Fox Tempest shows how trusted code-signing infrastructure becomes a malware platform

Source: Axios · 19 May 2026

What happened

Axios reported that Microsoft disrupted infrastructure supporting Fox Tempest, a service that sold fraudulent code-signing certificates to ransomware gangs. Microsoft said the group abused Microsoft Artifact Signing to make malware look trustworthy and estimated that it generated more than 1,000 certificates while operating hundreds of Azure tenants and subscriptions. Investigators also engaged a seller over Telegram during the investigation.

Why it matters

For OSINT teams, journalists and civil-society investigators, this is a platform-trust problem, not only a malware story. A signed file, familiar brand, collaboration invite or remote-access installer can still be malicious. The trust layer around software distribution is now part of the threat surface.

How to use it

Before installing or sharing tools, check the download domain, vendor site, certificate publisher, file hash, release history and whether the file arrived through ads, mirrors, Telegram or an unexpected invitation. For incident notes, document the delivery chain: ad or message, domain, certificate, hash, execution context and security alert.

Limits

This is defensive reporting, not a guide to obtaining certificates or bypassing security systems. Do not treat every signed file as malicious or every abused brand as compromised; distinguish impersonation from vendor compromise.

Fox Tempest показує, як інфраструктура підпису коду стає платформою для malware

Джерело: Axios · 19 травня 2026

Що сталося

Axios повідомив, що Microsoft зірвала інфраструктуру Fox Tempest — сервісу, який продавав шахрайські сертифікати підпису коду ransomware-групам. За даними Microsoft, група зловживала Microsoft Artifact Signing, щоб malware виглядало довіреним, і створила понад 1 000 сертифікатів, працюючи через сотні Azure tenants і subscriptions. Під час розслідування слідчі також контактували з продавцем через Telegram.

Чому це важливо

Для OSINT-команд, журналістів і громадських розслідувачів це проблема platform trust, а не лише історія про malware. Підписаний файл, знайомий бренд, collaboration invite або інсталятор remote-access tool усе одно можуть бути шкідливими. Шар довіри навколо розповсюдження ПЗ став частиною поверхні атаки.

Як це застосувати

Перед встановленням або пересиланням інструментів перевіряйте домен завантаження, сайт вендора, видавця сертифіката, hash файлу, історію релізів і те, чи прийшов файл через рекламу, дзеркало, Telegram або несподіване запрошення. Для incident notes фіксуйте ланцюг доставки: реклама або повідомлення, домен, сертифікат, hash, контекст запуску й security alert.

Обмеження

Це захисний матеріал, а не інструкція з отримання сертифікатів або обходу захисту. Не варто вважати кожен підписаний файл шкідливим або кожен використаний бренд скомпрометованим; розрізняйте імітацію бренду й реальний злам вендора.

code-signingmalwareplatform-trusttelegramopsec

🤖AI VerificationШІ та верифікація

#05

A GPT‑Image‑2 dataset shows why provenance metadata disappears on platforms

Source: arXiv · 28 Apr 2026

What happened

A new arXiv paper introduced a dataset of 10,217 confirmed GPT‑Image‑2 images collected from public Twitter/X posts in the first week after the model’s release. The authors used multilingual text heuristics, browser-based “Made with AI” badge verification and model-name matching. A key negative result is that C2PA content credentials were systematically stripped by Twitter’s CDN on upload, making cryptographic provenance verification infeasible for those social-media copies.

Why it matters

This matters for conflict verification because synthetic imagery will often arrive through platforms that strip or transform provenance metadata. Absence of C2PA is therefore not proof that an image is authentic, and presence of an AI-looking artifact is not proof of fabrication. Verification must survive platform processing.

How to use it

Use provenance metadata as one signal among several. Preserve original uploads where possible, record the first known platform appearance, compare repost chronology, run reverse-image searches, inspect visual consistency, check captions and source behavior, and avoid collapsing “AI-generated,” “edited,” “recompressed” and “unverified” into one label.

Limits

The dataset is from Twitter/X and GPT‑Image‑2 self-reported or badge-verified content, so it should not be generalized to every platform or model. Provenance failure does not identify intent, author, location or event truth.

Датасет GPT‑Image‑2 показує, як provenance metadata зникає на платформах

Джерело: arXiv · 28 квітня 2026

Що сталося

Нова стаття на arXiv представила датасет із 10 217 підтверджених GPT‑Image‑2 зображень, зібраних із публічних постів Twitter/X у перший тиждень після релізу моделі. Автори використали багатомовні текстові евристики, browser-based перевірку бейджа “Made with AI” і зіставлення назв моделі. Ключовий негативний результат: C2PA content credentials системно видалялися CDN Twitter під час завантаження, тому криптографічна перевірка provenance для таких соціальних копій ставала неможливою.

Чому це важливо

Це важливо для воєнної верифікації, бо синтетичні зображення часто приходять через платформи, які видаляють або змінюють provenance metadata. Відсутність C2PA не доводить автентичність зображення, а наявність AI-подібного артефакту не доводить підробку. Верифікація має працювати навіть після платформної обробки.

Як це застосувати

Використовуйте provenance metadata як один сигнал серед кількох. За можливості зберігайте оригінальні завантаження, фіксуйте першу відому появу на платформі, порівнюйте хронологію репостів, робіть reverse image search, перевіряйте візуальну узгодженість, підписи й поведінку джерела та не зливайте «AI-generated», «відредаговане», «перекомпресоване» і «неперевірене» в одну мітку.

Обмеження

Датасет стосується Twitter/X і GPT‑Image‑2 контенту, який був self-reported або перевірений через бейдж, тому його не можна автоматично переносити на всі платформи чи моделі. Провал provenance не встановлює намір, автора, локацію або правдивість події.

ai-verificationsynthetic-mediac2paplatform-processingprovenance