Open Source Signal #024 / Сигнал відкритих джерел

Editorial frame

What this is: A bilingual editorial filter for public-interest OSINT. Each item explains what happened, why it matters, how a reader can use the insight, and where the method or evidence has limits.

What this is not: Doxxing, live targeting, stolen-data workflows, private-person deanonymization, credential hunting, revenge calls, unsafe operational guidance or unverified accusations against private people.

Rubric map

🔎 Platform Watch

🗺️ Map Room

🧭 Tradecraft

🤖 AI Verification

🧰 Toolbox

🛡️ Investigator OPSEC

🧭 Risk Watch

🔎Platform WatchПлатформний радар

#01

Viory/Ruptly links show propaganda as infrastructure, not only content

Source: Bellingcat · 4 June 2026

What happened

Bellingcat traced digital and organisational links between Viory and Ruptly, including infrastructure signals such as shared IP space, certificate history and web-performance traces. The article also notes earlier findings by RND and OSINT For Ukraine and records that Viory and Ruptly denied a connection.

Why it matters

For Ukrainian accountability work, Russian state-linked media ecosystems should be mapped as infrastructure as well as messaging. Rebranding, relocation and technical overlap can reveal continuity in distribution networks even when public ownership or editorial control is disputed.

How to use it

Use the case as a model for a media-infrastructure audit: certificate history, passive DNS, archived pages, shared analytics or monitoring code, company records, staff movement and prior OSINT findings. Keep each link as a separate evidence layer before making any conclusion.

Limits

Digital links do not automatically prove ownership, editorial control or legal responsibility. Treat the finding as cumulative evidence and distinguish technical overlap, staff overlap, coordination, control and state direction.

Зв’язки Viory/Ruptly показують пропаганду як інфраструктуру, а не лише як зміст

Джерело: Bellingcat · 4 червня 2026

Що сталося

Bellingcat простежив цифрові та організаційні зв’язки між Viory і Ruptly, зокрема спільні IP-адреси, історію сертифікатів і технічні сліди роботи сайту. У матеріалі також згадано попередні знахідки RND та OSINT For Ukraine і зазначено, що Viory та Ruptly заперечують зв’язок між собою.

Чому це важливо

Для українських розслідувань російські державні або пов’язані з державою медійні екосистеми треба розглядати не лише як тексти й відео, а і як інфраструктуру. Зміна назви, юрисдикції або технічної оболонки може показувати спадковість мережі поширення навіть тоді, коли власність чи редакційний контроль заперечуються.

Як це застосувати

Використовуйте цей кейс як приклад перевірки медійної інфраструктури: історія сертифікатів, пасивні DNS-дані, архівні сторінки, спільний аналітичний або моніторинговий код, реєстри компаній, переміщення працівників і попередні OSINT-знахідки. Кожен зв’язок треба тримати як окремий доказовий шар до формулювання висновку.

Обмеження

Цифрові зв’язки самі по собі не доводять власність, редакційний контроль або юридичну відповідальність. Це сукупний доказовий матеріал; треба розрізняти технічний перетин, перетин людей, координацію, контроль і державне спрямування.

platform-watchpropaganda-infrastructurebellingcatosint-for-ukrainerussian-media

🗺️Map RoomКартографічна кімната

#02

Front-line maps need evidence levels, not a single line of certainty

Source: Reuters · 8 June 2026

What happened

Reuters reported Oleksandr Syrskyi’s statement that Ukraine had recaptured more than 600 square kilometres in 2026 and reversed May’s net territorial balance by about 100 square kilometres. Reuters explicitly said it could not independently verify the figures and noted that drone warfare has created a broad kill zone that complicates territorial-control mapping.

Why it matters

The useful OSINT signal is the verification limit, not the headline number. Territorial-control maps can show trends, but they mix official claims, geolocated media, grey zones, abandoned terrain, contested settlements and editorial judgement.

How to use it

When using DeepState, ISW or other front-line maps, record the map version, date, source category and confirmation level. Separate claimed control, mapped control, visual confirmation, contested area, no-man’s-land and unverified movement.

Limits

Do not treat a map as legal proof by itself and do not publish live tactical conclusions, route advice or targetable information. Official battlefield figures remain claims until independently corroborated.

Фронтові карти потребують рівнів підтвердження, а не однієї лінії певності

Джерело: Reuters · 8 червня 2026

Що сталося

Reuters передав заяву Олександра Сирського, що Україна від початку 2026 року повернула понад 600 квадратних кілометрів і в травні змінила територіальний баланс приблизно на 100 квадратних кілометрів на свою користь. Агентство прямо зазначило, що не може незалежно перевірити ці цифри, а дронова війна створила широку зону ураження, яка ускладнює картографування контролю над територією.

Чому це важливо

Корисний OSINT-сигнал тут не в самому числі, а в межах перевірки. Карти контролю над територією можуть показувати тенденції, але в них змішуються офіційні заяви, геолоковані матеріали, сірі зони, покинута місцевість, спірні населені пункти й редакційне судження картографів.

Як це застосувати

Працюючи з DeepState, ISW або іншими фронтовими картами, фіксуйте версію карти, дату, тип джерела і рівень підтвердження. Окремо позначайте заявлений контроль, нанесений на карту контроль, візуальне підтвердження, спірну зону, нічийну територію та неперевірене просування.

Обмеження

Не сприймайте карту як самодостатній юридичний доказ і не публікуйте поточні тактичні висновки, поради щодо маршрутів або інформацію, яку можна використати для ураження. Офіційні бойові цифри залишаються заявами, доки їх не підтвердять незалежні джерела.

map-roomfrontline-mappingterritorial-controldeepstateverification-limits

🧭TradecraftМетодика

#03

NATO’s cyber-disinformation exercise turns Ukrainian wartime experience into a training model

Source: Financial Times · 7 June 2026

What happened

Financial Times reported on a NATO cyber-crisis simulation in Bydgoszcz, Poland, organised through the Joint Analysis, Training and Education Centre. The exercise combined a blackout, a flood, banking-system compromise and AI-driven disinformation, with Ukrainian officials playing the fictional Russia-style adversary.

Why it matters

The item is useful for OSINT teams because it shows how cyber incidents, infrastructure disruption and information operations should be analysed together. Ukraine’s wartime experience is being formalised into training, but the lesson for public investigators is methodological: crisis evidence arrives across many channels at once.

How to use it

Build table-top exercises for newsrooms and OSINT teams: one timeline for the incident, separate tracks for official statements, platform posts, network indicators, media corrections, false narratives and public-safety messaging. Test how the team labels uncertainty before publication.

Limits

A simulation is not evidence of real adversary capability and should not be turned into a doctrine claim. Do not extract operational playbooks; use it as a preparedness and verification-discipline model.

Навчання НАТО з кіберкризи й дезінформації перетворює український воєнний досвід на модель підготовки

Джерело: Financial Times · 7 червня 2026

Що сталося

Financial Times описала навчання НАТО з реагування на кіберкризу в польському Бидгощі, організоване через Спільний центр аналізу, підготовки та освіти НАТО — Україна. У сценаріях поєднувалися знеструмлення, повінь, злам банківської системи та дезінформація, створена за допомогою ШІ; українські посадовці грали роль умовного противника за російським зразком.

Чому це важливо

Матеріал корисний для OSINT-команд, бо показує: кіберінциденти, інфраструктурні збої та інформаційні операції треба аналізувати разом. Український воєнний досвід стає частиною навчальної моделі, але для публічних дослідників головний урок методичний: під час кризи докази й заяви приходять одразу з багатьох каналів.

Як це застосувати

Проводьте настільні навчання для редакцій та OSINT-команд: одна хронологія інциденту, окремі доріжки для офіційних заяв, дописів на платформах, мережевих показників, медійних уточнень, неправдивих наративів і повідомлень для безпеки населення. Окремо перевіряйте, як команда позначає непевність перед публікацією.

Обмеження

Навчання не є доказом реальних можливостей противника і не повинне перетворюватися на твердження про доктрину. Не витягуйте з нього операційні інструкції; використовуйте його як модель підготовки й дисципліни перевірки.

tradecraftcyber-crisisdisinformationukraine-lessonsnato

🤖AI VerificationШІ та верифікація

#04

CausalAlpha treats Telegram OSINT as a measurable narrative signal

Source: arXiv · 5 June 2026

What happened

A new arXiv paper introduces CausalAlpha, an open-source framework that builds a high-frequency geopolitical-risk index from Telegram OSINT channels and tests causal links between narrative categories and financial variables. The paper reports that political instability and energy coverage consistently precede conflict coverage inside the monitored narrative system.

Why it matters

This is a useful general-OSINT item because it moves Telegram monitoring from anecdotal reading toward structured time series. For Ukrainian analysts, the transferable idea is not financial prediction, but disciplined signal construction: define categories, log time, preserve source scope and avoid confusing narrative momentum with verified events.

How to use it

Use the paper as a methodological lead for a nooscope-style monitor: separate channel selection, language model labeling, time aggregation, uncertainty notes and validation against external events. Keep Telegram-derived signals as indicators of information flow, not as factual confirmation.

Limits

The paper is a preprint and its Telegram corpus, model choices and causal-discovery assumptions need independent review before operational use. Do not use channel-level outputs to accuse private persons or treat narrative correlation as causation in the real world.

CausalAlpha розглядає Telegram-канали як вимірюваний сигнал про розвиток наративів

Джерело: arXiv · 5 червня 2026

Що сталося

Нова стаття на arXiv представляє CausalAlpha — відкриту систему, яка будує високочастотний індекс геополітичного ризику на основі Telegram-каналів і перевіряє зв’язки між категоріями наративів та фінансовими показниками. Автори пишуть, що в їхній моделі теми політичної нестабільності й енергетики послідовно передують темі конфлікту в межах відстежуваного інформаційного середовища.

Чому це важливо

Це корисний загальний OSINT-матеріал, бо переводить моніторинг Telegram із читання окремих дописів у структуровані часові ряди. Для українських аналітиків переносима ідея не в прогнозі ринку, а в дисципліні побудови сигналу: визначити категорії, фіксувати час, описати межі джерел і не плутати рух наративу з підтвердженою подією.

Як це застосувати

Використовуйте статтю як методичну зачіпку для моніторингової системи: окремо описуйте добір каналів, машинне маркування тем, часову агрегацію, нотатки про непевність і перевірку через зовнішні події. Сигнали з Telegram мають показувати рух інформації, а не автоматично підтверджувати факти.

Обмеження

Це препринт, тому корпус Telegram-каналів, вибір моделей і припущення щодо причинності потребують незалежної перевірки перед практичним використанням. Не використовуйте результати на рівні каналів для звинувачень приватних осіб і не подавайте кореляцію наративів як доведену причинність у реальному світі.

ai-verificationtelegram-monitoringosint-methodologyrisk-indexnarrative-analysis

🧰ToolboxІнструментарій

#05

MarkItDown 0.1.6 improves document intake for messy evidence files

Source: Microsoft / GitHub · 26 May 2026

What happened

Microsoft released MarkItDown 0.1.6. The release adds an OCR-layer service for embedded images and PDF scans, fixes memory growth in PDF conversion, improves handling of deeply nested HTML and clarifies security warnings around non-local interface binding.

Why it matters

Investigators often need to turn PDFs, scans, Office files and web pages into plain text for review, translation, search and language-model assisted triage. A document converter is not glamorous, but a clean text layer is where many later workflows begin.

How to use it

Use MarkItDown in a controlled intake pipeline: keep the original file, record the converter version, save the extracted text, hash both files and manually inspect samples where OCR or tables matter. Run it locally or inside a controlled environment when files are sensitive.

Limits

Conversion can lose layout, tables, handwriting, stamps and image context. Do not cite converted text without checking the original file, and do not upload sensitive evidence to uncontrolled services.

MarkItDown 0.1.6 поліпшує підготовку складних документів до аналізу

Джерело: Microsoft / GitHub · 26 травня 2026

Що сталося

Microsoft випустила MarkItDown 0.1.6. У релізі додано шар розпізнавання тексту для вбудованих зображень і сканованих PDF, виправлено зростання споживання пам’яті під час перетворення PDF, поліпшено обробку глибоко вкладеного HTML і уточнено безпекові попередження щодо прив’язки сервісу не лише до локального інтерфейсу.

Чому це важливо

Дослідникам часто потрібно перетворити PDF, скани, офісні файли та вебсторінки на звичайний текст для перегляду, перекладу, пошуку й первинного аналізу за допомогою мовних моделей. Перетворювач документів не виглядає ефектно, але саме з чистого текстового шару часто починаються подальші робочі процеси.

Як це застосувати

Використовуйте MarkItDown у контрольованому процесі приймання документів: зберігайте оригінал, фіксуйте версію перетворювача, зберігайте витягнутий текст, рахуйте хеші обох файлів і вручну перевіряйте зразки там, де важливі розпізнавання тексту або таблиці. Для чутливих файлів запускайте інструмент локально або в контрольованому середовищі.

Обмеження

Під час перетворення може втрачатися верстка, таблиці, рукописний текст, печатки та контекст зображень. Не цитуйте перетворений текст без перевірки оригіналу й не завантажуйте чутливі докази до неконтрольованих сервісів.

toolboxdocument-intakeocrpdfevidence-preservation

🤖AI VerificationШІ та верифікація

#06

Google’s AI threat tracker turns adversary AI use into a verification problem

Source: Google Threat Intelligence Group · 11 May 2026

What happened

Google Threat Intelligence Group reported that adversaries are using AI for vulnerability research, exploit development, malware obfuscation, autonomous malware operations, reconnaissance and information operations. The report also mentions Russia-nexus activity targeting Ukrainian organisations with AI-enabled malware families using generated decoy code.

Why it matters

For OSINT editors, the key point is that AI traces are not proof by themselves. Generated comments, decoy code, synthetic audio, automated reconnaissance and AI-shaped infrastructure are evidence signals that must be tested against logs, samples, infrastructure history and human reporting.

How to use it

Create a checklist for AI-related evidence: what artifact suggests AI use, whether the claim comes from reverse engineering or inference, what independent artifacts corroborate it, and whether the public text should describe it as suspected, likely or confirmed.

Limits

Do not turn the report into an offensive guide or publish tool chains, prompts, exploit logic or operational details. AI-use attribution should remain evidence-graded and conservative.

Звіт Google про використання ШІ зловмисниками ставить перед дослідниками нову задачу перевірки

Джерело: Google Threat Intelligence Group · 11 травня 2026

Що сталося

Google Threat Intelligence Group повідомила, що зловмисники використовують ШІ для пошуку вразливостей, розробки експлойтів, маскування шкідливого коду, автономної роботи шкідливих програм, розвідки цілей та інформаційних операцій. У звіті також згадано пов’язану з Росією активність проти українських організацій, де шкідливі програми використовували згенерований код-приманку.

Чому це важливо

Для OSINT-редакторів головне в тому, що сліди ШІ самі по собі не є доказом. Згенеровані коментарі в коді, код-приманка, синтетичне аудіо, автоматизована розвідка й інфраструктура, створена за допомогою ШІ, — це лише сигнали, які треба звіряти з журналами подій, зразками, історією інфраструктури та людськими свідченнями.

Як це застосувати

Створіть чеклист для доказів, пов’язаних із ШІ: який саме артефакт вказує на використання ШІ, чи походить твердження з технічного аналізу або з припущення, які незалежні матеріали це підтверджують і чи треба в публікації писати «можливо», «ймовірно» або «підтверджено».

Обмеження

Не перетворюйте звіт на наступальну інструкцію й не публікуйте ланцюжки інструментів, підказки для моделей, логіку експлойтів або операційні деталі. Атрибуція використання ШІ має бути обережною й прив’язаною до рівня доказів.

ai-verificationthreat-intelligencesynthetic-mediamalwareukraine

🛡️Investigator OPSECБезпека дослідника

#07

BlackFile shows why identity recovery is part of newsroom OPSEC

Source: Google Threat Intelligence Group · 15 May 2026

What happened

Google Threat Intelligence Group described BlackFile, a voice-phishing and extortion operation that targets organisations through single sign-on compromise. The campaign abuses help-desk pretexts, passkey or MFA enrolment themes and adversary-in-the-middle infrastructure to gain access to cloud environments.

Why it matters

Newsrooms, NGOs and OSINT teams often depend on the same identity systems as companies: Microsoft 365, Okta, Google Workspace, shared drives and ticketing systems. If recovery and enrolment procedures are weak, archives, sources, drafts and unpublished evidence become reachable through a phone call, not a cinematic hack.

How to use it

Review identity procedures: who can reset MFA, how staff verify help-desk calls, whether passkey enrolment requires a second channel, how sessions are revoked and how emergency access is logged. Add a simple rule: no identity change from a phone call alone.

Limits

Use this as defensive awareness only. Do not reproduce phishing domains, social-engineering scripts, bypass steps or indicators that would help copy the campaign.

BlackFile показує, чому відновлення доступу є частиною безпеки редакції

Джерело: Google Threat Intelligence Group · 15 травня 2026

Що сталося

Google Threat Intelligence Group описала BlackFile — кампанію телефонного фішингу й вимагання, яка атакує організації через компрометацію єдиного входу до сервісів. Зловмисники використовують легенди про службу підтримки, нібито перехід на passkey або оновлення багатофакторної автентифікації та проміжну інфраструктуру для перехоплення доступу до хмарних середовищ.

Чому це важливо

Редакції, громадські організації та OSINT-команди залежать від тих самих систем входу, що й компанії: Microsoft 365, Okta, Google Workspace, спільних дисків і систем заявок. Якщо процедури відновлення й підключення слабкі, архіви, джерела, чернетки та неопубліковані докази можуть стати доступними через телефонний дзвінок, а не через кіношний злам.

Як це застосувати

Перевірте процедури входу: хто може скидати багатофакторну автентифікацію, як співробітники перевіряють дзвінки нібито від підтримки, чи потребує підключення passkey другого каналу, як відкликаються активні сеанси і як фіксується аварійний доступ. Просте правило: жодної зміни доступу лише після телефонного дзвінка.

Обмеження

Використовуйте це лише як оборонне попередження. Не відтворюйте фішингові домени, сценарії соціальної інженерії, кроки обходу захисту або індикатори, які допоможуть скопіювати кампанію.

investigator-opsecidentity-securityvishingssosource-protection