Open Source Signal Weekly

Editorial frame

What this is: A Sunday weekly magazine. It develops the strongest signals from the week’s Daily Signal issues and fresh public OSINT developments into editorial sections with evidence status, source limits and practical use.

What this is not: A dump of daily cards, a Telegram rumor digest, a target list, a doxxing board, a leaked-data workflow, or a place to turn allegations into verdicts by putting a hat on them.

Rubric map

📡 Signal of the Week / Головний сигнал тижня

⚖️ War Crimes Verification / Верифікація воєнних злочинів

🇺🇦 Ukraine Lens / Українська оптика

🕯️ Losses, Captivity & Missing / Втрати, полон, зниклі

🧭 Tradecraft / Методика

🧰 Toolbox / Інструментарій

⚠️ Risk Watch / Межі й ризики

Editorial note

The week’s central lesson is category discipline. The same stream contains verified civilian harm, official claims, Telegram leads, intelligence-sourced reporting, legal suspicion notices, datasets, maps and tool outputs. Weekly synthesis should make those categories visible instead of stirring them into one confident bowl of nonsense.

📡 Signal of the Week Головний сигнал тижня

#01

The strike week became an evidence-status problem

Reuters; Daily Signal #005/#009; fresh Sunday reporting · 18–24 May 2026

What happened

Russia’s May 23–24 missile and drone assault on Kyiv, earlier multi-city attacks on Odesa, Dnipro, Zaporizhzhia and Kherson, and Russian claims around Starobilsk all produced the same editorial problem: several categories of information arrived together, but not with the same evidentiary status.

Why it matters

For accountability OSINT, this is the week’s anchor. Confirmed civilian harm, official claims, denials, geolocated footage, munition assumptions, hospital figures and Telegram clips cannot be collapsed into one confident narrative.

How to use it

Use a claim-status grid for every strike: confirmed civilian casualty, claimed military target, denied claim, geolocated footage, verified munition evidence, official casualty update, unverified Telegram lead and later correction. Keep location folders separate.

Limits

Do not infer intent, target category or casualty count from one dramatic video. Mark Starobilsk-type claims as unverified unless independently corroborated; mark Kyiv civilian harm separately when supported by officials, imagery and later reporting.

Тиждень ударів став проблемою статусу доказів

Reuters; Daily Signal #005/#009; свіже недільне повідомлення · 18–24 травня 2026

Що сталося

Російський ракетно-дроновий удар по Києву 23–24 травня, попередні атаки по Одесі, Дніпру, Запоріжжю й Херсону та російські заяви щодо Старобільська створили одну редакційну проблему: різні типи інформації прийшли одночасно, але не з однаковим доказовим статусом.

Чому це важливо

Для accountability OSINT це головний сигнал тижня. Підтверджена шкода цивільним, офіційні заяви, заперечення, геолоковані відео, припущення щодо боєприпасів, медичні дані й Telegram-кадри не можна зливати в один самовпевнений сюжет.

Як це застосувати

Використовуйте таблицю статусів для кожного удару: підтверджена цивільна жертва, заявлена військова ціль, заперечена заява, геолоковане відео, перевірені уламки, офіційне оновлення щодо постраждалих, неперевірений Telegram-лід і подальше уточнення. Локації тримайте окремо.

Обмеження

Не виводьте намір, тип цілі або кількість жертв з одного ефектного відео. Заяви типу Старобільська позначайте як неперевірені без незалежної корроборації; шкоду цивільним у Києві маркуйте окремо, коли вона підтверджена посадовцями, зображеннями й подальшими повідомленнями.

Editorial use: Lead section; useful as a reusable verification-status explainer for future strike coverage.

signal-of-weekstrike-verificationclaim-statuskyivstarobilsktelegram-leads

⚖️ War Crimes Verification Верифікація воєнних злочинів

#02

Detention-site accountability moved from survivor testimony to suspect status

Slidstvo.Info; Le Monde; Daily Signal #006/#007 · May 2026

What happened

Slidstvo.Info reported that Russian prison official Anatoliy Kaplunov was notified of suspicion in Ukraine after former Ukrainian captives testified about abuse in the colony he headed. Le Monde separately reported on Ukrainian civilians detained by Russia, including incommunicado detention, torture allegations and long Russian-law sentences.

Why it matters

This is a strong Ukrainian accountability pattern: detention-site evidence is not just a story about individual suffering, but a map of facilities, command roles, transfer routes, legal labels and procedural steps.

How to use it

Build facility casefiles: institution name, location, command chain, survivor testimony, known deaths or disappearances, transfer route, Russian legal label, Ukrainian suspicion notice, court material, sanctions status and corroborating media.

Limits

Keep legal language exact. Kaplunov is reported as notified of suspicion, not convicted. Survivor testimony is crucial but sensitive; do not publish private family data, addresses, unrelated guards or unverified low-level accusations.

Від свідчень звільнених до статусу підозрюваного

Слідство.Інфо; Le Monde; Daily Signal #006/#007 · травень 2026

Що сталося

«Слідство.Інфо» повідомило, що російському посадовцю колонії Анатолію Каплунову в Україні оголошено підозру після свідчень звільнених українських полонених про знущання в установі, яку він очолював. Le Monde окремо писав про утримання українських цивільних Росією, ізоляцію без зв’язку, заяви про тортури й довгі строки за російським законодавством.

Чому це важливо

Це сильний український accountability-патерн: докази щодо місць несвободи — не лише історія індивідуального страждання, а мапа установ, ролей командування, маршрутів перевезення, правових ярликів і процесуальних кроків.

Як це застосувати

Будуйте casefile установи: назва, локація, ланцюг керівництва, свідчення звільнених, відомі смерті або зникнення, маршрут перевезення, російська правова кваліфікація, українська підозра, судові матеріали, санкційний статус і медійна корроборація.

Обмеження

Юридичну мову треба тримати точною. Каплунов у матеріалі фігурує як особа, якій повідомлено про підозру, а не як засуджений. Свідчення звільнених критично важливі, але чутливі; не публікуйте дані родин, адреси, непричетних охоронців або неперевірені низові звинувачення.

Editorial use: Major accountability story; candidate for a full detention-infrastructure methodology piece.

pow-abusecivilian-detentiondetention-sitesarticle-438legal-status

🕯️ Losses, Captivity & Missing Втрати, полон, зниклі

#03

Foreign fighters are a captivity, loss and trafficking dataset problem

Truth Hounds, FIDH, Kazakhstan International Bureau; Daily Signal #006 · 29 April 2026

What happened

Truth Hounds and partners examined Russia’s recruitment and exploitation of foreign fighters, including possible deception, coercion and trafficking-like practices affecting socio-economically vulnerable foreign nationals.

Why it matters

Russian loss, POW, MIA and missing-person datasets are no longer purely domestic Russian datasets. They include foreign nationals with opaque recruitment routes and unclear legal status.

How to use it

For each foreign-fighter case, separate identity, nationality, recruitment channel, promised job or contract, unit, deployment location, capture/death/missing status and indicators of coercion or deception.

Limits

Do not collapse all foreign fighters into one moral or legal category. Recruitment propaganda, POW interviews and social-media traces can all be incomplete or distorted; legal classification requires expert review.

Іноземці в російській армії як проблема втрат, полону й торгівлі людьми

Truth Hounds, FIDH, Казахстанське міжнародне бюро; Daily Signal #006 · 29 квітня 2026

Що сталося

Truth Hounds та партнери дослідили російське вербування й експлуатацію іноземців, зокрема можливі обман, примус і практики, схожі на торгівлю людьми, щодо соціально вразливих іноземних громадян.

Чому це важливо

Масиви російських втрат, полонених, зниклих і MIA вже не є суто внутрішньоросійськими. У них є іноземці з непрозорими маршрутами вербування й неочевидним правовим статусом.

Як це застосувати

Для кожного кейсу іноземного бійця окремо фіксуйте особу, громадянство, канал вербування, обіцяне працевлаштування або контракт, підрозділ, місце служби, статус полону/загибелі/зникнення та ознаки примусу чи обману.

Обмеження

Не записуйте всіх іноземців в одну моральну чи юридичну категорію. Рекрутингова пропаганда, інтерв’ю полонених і соцмережі можуть бути неповними або викривленими; юридична класифікація потребує фахової оцінки.

Editorial use: Recurring Losses/Captivity/Missing framework; useful for regional and nationality-based data work.

foreign-fighterspow-datatrafficking-risklossesmissing

🇺🇦 Ukraine Lens Українська оптика

#04

War & Sanctions is an entity layer, not a verdict machine

War & Sanctions; Daily Signal #008 · 12–18 May 2026

What happened

Ukraine’s War & Sanctions portal updated its “Kremlin Mouthpieces” section and continues to maintain structured public sections on propaganda actors, child kidnappers, foreign weapon components, vessels, aircraft, stolen heritage and the Russian military-industrial complex.

Why it matters

The portal is one of Ukraine’s strongest public entity layers for accountability OSINT. Its value is not only the names, but the structure: people, companies, weapons, vessels, components, sanctions exposure and institutional links.

How to use it

Use it as a starting point for entity maps. Cross-check each person, component, company, vessel or propaganda actor against sanctions acts, corporate registries, archived statements, procurement data and independent reporting.

Limits

A database entry is not a complete evidentiary package. Separate “listed by Ukrainian official project,” “sanctioned,” “identified by investigators,” “charged” and “convicted.” A tiny database hat does not make a legal finding.

War & Sanctions — це шар сутностей, а не машина вироків

War & Sanctions; Daily Signal #008 · 12–18 травня 2026

Що сталося

Український портал War & Sanctions оновив розділ «Kremlin Mouthpieces» і веде структуровані публічні розділи про пропагандистів, викрадачів дітей, іноземні компоненти у зброї, судна, авіацію, викрадену спадщину та російський ВПК.

Чому це важливо

Портал є одним із найсильніших українських публічних entity-шарів для accountability OSINT. Його цінність не лише в іменах, а в структурі: люди, компанії, зброя, судна, компоненти, санкційні ризики й інституційні зв’язки.

Як це застосувати

Використовуйте його як стартову точку для entity map. Кожну особу, компонент, компанію, судно чи пропагандистську структуру звіряйте із санкційними актами, реєстрами, архівами заяв, закупівельними даними й незалежними розслідуваннями.

Обмеження

Запис у базі не дорівнює повному доказовому пакету. Розділяйте статуси: «є в українському офіційному проєкті», «під санкціями», «ідентифікований розслідувачами», «обвинувачений» і «засуджений». Маленький капелюшок бази даних не створює юридичного висновку.

Editorial use: Ukraine Lens anchor; suitable for a guide on using Ukrainian state-backed accountability datasets safely.

war-and-sanctionsentity-mappingsanctionspropaganda-networksweapon-components

⚖️ War Crimes Verification Верифікація воєнних злочинів

#05

Child-deportation OSINT belongs in protected handoff channels

The Times; ICDS / Europol; Daily Signal #007/#008 · May 2026

What happened

The week connected two child-deportation accountability layers: reporting on Yana Lantratova’s appointment to a Russian human-rights post while accused in a child-transfer context, and an ICDS account of a Europol-hosted Hague hackathon where investigators used OSINT to identify possible locations of Ukrainian children.

Why it matters

This is the difference between public-interest OSINT and reckless exposure. The public story should explain networks, institutions and workflows, while individual child-location leads must go through protected institutional channels.

How to use it

Map institutions and actors: occupation authorities, political offices, children’s facilities, adoption or identity-change mechanisms, youth programs, public propaganda, legal notices and official handoff routes to Ukrainian or international bodies.

Limits

Do not publish names, schools, social profiles, exact locations, family links or identifying details of children. Treat allegation, sanctions status and court material as different evidence layers.

OSINT щодо депортованих дітей має йти в захищені канали передачі

The Times; ICDS / Europol; Daily Signal #007/#008 · травень 2026

Що сталося

Цього тижня зійшлися два шари відповідальності за депортацію дітей: повідомлення про призначення Яни Лантратової на російську «правозахисну» посаду на тлі звинувачень у контексті переміщення дітей і матеріал ICDS про хакатон Europol у Гаазі, де розслідувачі використовували OSINT для встановлення можливих місць перебування українських дітей.

Чому це важливо

Це різниця між OSINT у публічному інтересі та небезпечним викриттям. Публічний матеріал має пояснювати мережі, інституції й workflow, а ліди щодо конкретних дітей мають іти захищеними інституційними каналами.

Як це застосувати

Мапуйте інституції й акторів: окупаційні адміністрації, політичні офіси, дитячі установи, механізми усиновлення або зміни ідентичності, молодіжні програми, пропагандистське прикриття, правові повідомлення й офіційні маршрути передачі українським або міжнародним органам.

Обмеження

Не публікуйте імена, школи, соцмережі, точні локації, родинні зв’язки або ідентифікаційні деталі дітей. Звинувачення, санкційний статус і матеріали справ — це різні доказові шари.

Editorial use: Major War Crimes Verification section; candidate for a protected child-tracing workflow explainer.

deported-childrenprotected-osinteuropolinstitutional-handoffwar-crimes

⚖️ War Crimes Verification Верифікація воєнних злочинів

#06

CRSV evidence must be survivor-first or it is not evidence discipline

UNITED24 Media; Daily Signal #008 · 12 May 2026

What happened

UNITED24 Media reported that Donetsk prosecutors are investigating 26 conflict-related sexual-violence proceedings involving women, men and children, with one reported suspicion concerning a serviceman from Russia’s 114th Separate Motorized Rifle Brigade under Article 438 of Ukraine’s Criminal Code.

Why it matters

Conflict-related sexual violence is a war-crimes category and a maximum-risk evidence category. The public-interest argument never cancels the duty to protect survivors.

How to use it

Track only what is necessary for accountability: procedural status, legal article, unit reference, broad location, time frame, official source and whether the alleged perpetrator is identified, notified of suspicion, charged or convicted.

Limits

Do not identify survivors, relatives, shelters, exact homes or private support networks. Avoid graphic detail unless legally necessary and ethically justified. “Notified of suspicion” is not “convicted.”

CRSV-докази мають бути survivor-first — інакше це не дисципліна доказів

UNITED24 Media; Daily Signal #008 · 12 травня 2026

Що сталося

UNITED24 Media повідомило, що прокуратура Донеччини розслідує 26 проваджень щодо сексуального насильства, пов’язаного з війною, де потерпілими є жінки, чоловіки й діти; в одному епізоді йдеться про підозру військовому 114-ї окремої мотострілецької бригади РФ за статтею 438 КК України.

Чому це важливо

Сексуальне насильство, пов’язане з війною, є категорією воєнних злочинів і зоною максимального ризику для доказів. Публічний інтерес ніколи не скасовує обов’язку захищати постраждалих.

Як це застосувати

Фіксуйте лише те, що потрібно для відповідальності: процесуальний статус, статтю, підрозділ, широку локацію, часовий проміжок, офіційне джерело й статус імовірного злочинця — встановлений, отримав підозру, обвинувачений або засуджений.

Обмеження

Не ідентифікуйте постраждалих, родичів, укриття, точні домівки або приватні мережі підтримки. Уникайте графічних деталей без юридичної необхідності й етичного обґрунтування. «Повідомлено про підозру» — не «засуджено».

Editorial use: Special War Crimes Verification ethics section; keep as recurring CRSV handling standard.

crsvarticle-438survivor-protectionevidence-handlinglegal-status

🧭 Tradecraft Методика

#07

Visibility under occupation can become a targeting surface

ZOiS; Reuters occupation Telegram reporting; Daily Signal #008/#009 · May 2026

What happened

ZOiS examined how public resistance actions under Russian occupation can expose civilians through Telegram tasking, symbols, CCTV, phone searches and digital traces. Daily Signal #009 separately treated occupation Telegram channels as source, propaganda layer and damage-control channel at once.

Why it matters

The week’s OPSEC lesson is not glamorous: publish less when the person on the ground carries the risk. OSINT projects can accidentally turn local civilians into exposed data points.

How to use it

Add a harm-check before publication: face, hands, window, courtyard, route, upload pattern, local network, device reflection, timestamp, camera angle, occupation source status and possible retaliation risk.

Limits

Some local actors knowingly choose public visibility, but editorial default should be conservative: blur, delay, aggregate or do not publish when risk is unclear. Do not launder occupation officials into neutral local authorities.

Видимість в окупації може стати поверхнею для репресій

ZOiS; Reuters про окупаційні Telegram-джерела; Daily Signal #008/#009 · травень 2026

Що сталося

ZOiS розглянув, як публічні акції опору під російською окупацією можуть викривати цивільних через Telegram-завдання, символи, камери, перевірки телефонів і цифрові сліди. Daily Signal #009 окремо розбирав окупаційні Telegram-канали як джерело, пропагандистський шар і канал damage control одночасно.

Чому це важливо

OPSEC-урок тижня не гламурний: публікуйте менше, коли ризик несе людина на місці. OSINT-проєкти можуть випадково перетворити місцевих цивільних на відкриті точки даних.

Як це застосувати

Додайте harm-check перед публікацією: обличчя, руки, вікно, двір, маршрут, патерн завантаження, локальна мережа, відбиття пристрою, час, кут зйомки, статус окупаційного джерела й ризик помсти.

Обмеження

Деякі місцеві актори свідомо обирають публічність, але редакційний default має бути обережним: розмити, відкласти, агрегувати або не публікувати, якщо ризик неясний. Не відмивайте окупаційних посадовців до статусу нейтральної місцевої влади.

Editorial use: Practical method section; suitable for a Telegram Radar/source-safety checklist.

occupied-territoriessource-protectiontelegram-radarharm-checkopsec

🧰 Toolbox Інструментарій

#08

Verified maps and archives beat Telegram fog

CIR Eyes on Russia; Browsertrix; ExifTool; Dangerzone; Daily Signal #008/#010 · May 2026

What happened

CIR’s Eyes on Russia map offers a searchable verification layer built from verified videos, photos, satellite imagery and source-linked pins. Saturday Tool Radar added practical preservation and intake tools: Browsertrix for bounded web archives, ExifTool for metadata triage and Dangerzone for safer suspicious-document intake.

Why it matters

The practical weekly takeaway is workflow, not tool worship. Discovery, preservation, metadata triage and safe intake are separate steps that should leave an audit trail.

How to use it

For each public-source item: capture the original URL, archive when lawful, hash raw files, extract metadata on copies, quarantine hostile attachments, store source context and keep working copies separate from raw evidence.

Limits

A map pin, metadata field or archive file is not a final conclusion. Do not archive private groups, credentials, live operational details or unnecessary personal data.

Перевірені мапи й архіви кращі за Telegram-туман

CIR Eyes on Russia; Browsertrix; ExifTool; Dangerzone; Daily Signal #008/#010 · травень 2026

Що сталося

Мапа CIR Eyes on Russia дає пошуковий шар верифікації на основі перевірених відео, фото, супутникових знімків і source-linked pins. Суботній Tool Radar додав практичні інструменти: Browsertrix для контрольованого вебархівування, ExifTool для metadata triage і Dangerzone для безпечнішого прийому підозрілих документів.

Чому це важливо

Практичний висновок тижня — workflow, а не поклоніння інструментам. Пошук, збереження, metadata triage і безпечний intake — це різні кроки, які мають залишати audit trail.

Як це застосувати

Для кожного відкритого джерела: фіксуйте оригінальний URL, архівуйте там, де це законно, хешуйте raw files, витягуйте метадані з копій, карантинуйте небезпечні вкладення, зберігайте контекст джерела й відділяйте робочі копії від raw evidence.

Обмеження

Точка на мапі, поле метаданих або архівний файл не є фінальним висновком. Не архівуйте приватні групи, credentials, live operational details або зайві персональні дані.

Editorial use: Tools/datasets section; useful as the standing “evidence intake pipeline” explainer.

toolseyes-on-russiabrowsertrixexiftooldangerzoneevidence-preservation

🧭 Map Room Картографічна кімната

#09

Infrastructure-strike verification needs damage assessment, not route astrology

Reuters; AP; The Guardian; Daily Signal #005/#007/#009 · 18–22 May 2026

What happened

The week included reports on Ukrainian long-range strikes against Russian oil infrastructure, Moscow-region facilities, a Syzran refinery fire, Baltic drone spillover and Odesa-area civilian shipping incidents.

Why it matters

These stories are important, but easy to mishandle. Infrastructure and maritime OSINT can slide from accountability documentation into operationally useful detail if route, timing, weak-point or live-tracking information is published carelessly.

How to use it

Build post-event files: facility identity, ownership, public production role, satellite or FIRMS signal, geolocated local footage, casualty/environmental statements, AIS history for vessels, official claims and later operational reporting.

Limits

Do not publish targeting guidance, weak-point analysis, live vessel movement, route prediction or unverified casualty claims. “Fire observed” is not “facility disabled,” and “flag state” is not proof of intent.

Верифікація ударів по інфраструктурі потребує damage assessment, а не маршрутної астрології

Reuters; AP; The Guardian; Daily Signal #005/#007/#009 · 18–22 травня 2026

Що сталося

Тиждень містив повідомлення про українські дальні удари по російській нафтовій інфраструктурі, об’єктах у Московській області, пожежу на Сизранському НПЗ, інцидент із дроном над Балтією та випадки навколо цивільного судноплавства біля Одеси.

Чому це важливо

Ці сюжети важливі, але їх легко зіпсувати. Інфраструктурний і maritime OSINT може зісковзнути з документування відповідальності в операційно корисні деталі, якщо необережно публікувати маршрути, час, вразливі точки або live tracking.

Як це застосувати

Будуйте post-event files: ідентичність об’єкта, власник, публічна виробнича роль, супутниковий або FIRMS-сигнал, геолоковані локальні відео, заяви про постраждалих чи екологію, AIS-історія суден, офіційні заяви й пізніші дані про роботу об’єкта.

Обмеження

Не публікуйте підказки для наведення, аналіз вразливих точок, живий рух суден, прогноз маршруту або неперевірені дані про постраждалих. «Є пожежа» не дорівнює «об’єкт виведено з ладу», а «прапор судна» не доводить намір.

Editorial use: Map Room method; strong candidate for an infrastructure-strike verification guide.

infrastructure-osintdamage-assessmentrefineriesmaritime-osintdrone-spillover

⚠️ Risk Watch Межі й ризики

#10

Russia-China drone training is a transfer-chain lead, not a public proof package

Reuters; Daily Signal #007 · 19 May 2026

What happened

Reuters reported, citing European intelligence sources, that around 200 Russian military personnel were covertly trained in China in late 2025 in drones, electronic warfare, aviation, mortars and explosives handling; the Kremlin denied the report.

Why it matters

The story matters because it points to possible external support, sanctions exposure and battlefield adaptation. But the core evidence is not fully public, so the OSINT task is to watch the chain, not pretend the chain is already proven end to end.

How to use it

Track locations, dates, training entities, contractors, unit references, procurement links, later battlefield appearances and official denials. Treat this as a structured watchlist for corroboration.

Limits

Do not identify or accuse individual trainees without independent public evidence. Do not convert intelligence-sourced reporting into named allegations.

Російсько-китайська підготовка дронщиків — це лід про transfer chain, а не публічний доказовий пакет

Reuters; Daily Signal #007 · 19 травня 2026

Що сталося

Reuters повідомив із посиланням на європейські розвідджерела, що близько 200 російських військових наприкінці 2025 року таємно проходили підготовку в Китаї з дронів, РЕБ, авіації, мінометів і вибухових речовин; Кремль це заперечив.

Чому це важливо

Сюжет важливий, бо вказує на можливу зовнішню підтримку, санкційні ризики й бойову адаптацію. Але ключові докази не є повністю публічними, тому OSINT-задача — спостерігати за ланцюгом, а не робити вигляд, що він уже доведений від початку до кінця.

Як це застосувати

Фіксуйте локації, дати, навчальні структури, підрядників, згадки підрозділів, закупівельні зв’язки, подальші появи на фронті й офіційні заперечення. Це має бути структурований watchlist для корроборації.

Обмеження

Не ідентифікуйте й не звинувачуйте окремих учасників навчання без незалежних публічних доказів. Не перетворюйте розвідкову журналістику на іменні обвинувачення.

Editorial use: Risk Watch section for foreign-support and sanctions-monitoring follow-up.

russia-chinadrone-warfareelectronic-warfaresanctions-researchsource-limits

🛡️ Investigator OPSEC Безпека дослідника

#11

Old compromise is still infrastructure

The Record / CERT-UA; Google Threat Intelligence via Guardian and Axios; Daily Signal #005/#006 · April–May 2026

What happened

The Record summarized a CERT-UA warning that Russian-linked actors revisit previously compromised systems. The week also included reporting on Google findings about AI-assisted hacking and possible AI-supported vulnerability work.

Why it matters

For OSINT teams, the issue is defensive. Investigators working on war crimes, sanctions, POWs or occupation networks often hold sensitive leads long before publication. Old access tokens, mail forwarding rules and forgotten devices can be more dangerous than a new phishing email.

How to use it

After any suspected compromise, review cloud sessions, OAuth grants, forwarding rules, shared drives, admin panels, backup access, password reuse and abandoned devices. Keep an incident log so repeat attempts are connected.

Limits

Do not feed private witness data, unredacted documents or unpublished case files into uncontrolled AI agents. Defensive reporting is not an invitation to reproduce exploit mechanics.

Стара компрометація все ще є інфраструктурою

The Record / CERT-UA; Google Threat Intelligence через Guardian і Axios; Daily Signal #005/#006 · квітень–травень 2026

Що сталося

The Record переказав попередження CERT-UA про те, що російськопов’язані актори повертаються до раніше скомпрометованих систем. Тиждень також містив повідомлення про висновки Google щодо AI-assisted hacking і можливого AI-supported пошуку вразливостей.

Чому це важливо

Для OSINT-команд це захисна тема. Дослідники воєнних злочинів, санкцій, полонених або окупаційних мереж часто зберігають чутливі ліди задовго до публікації. Старі токени доступу, правила пересилання пошти й забуті пристрої можуть бути небезпечнішими за новий фішинговий лист.

Як це застосувати

Після будь-якої підозри на компрометацію перевіряйте хмарні сесії, OAuth-доступи, правила пересилання, спільні диски, адмін-панелі, резервні доступи, повторне використання паролів і старі пристрої. Ведіть журнал інцидентів, щоб повторні спроби були пов’язані між собою.

Обмеження

Не завантажуйте приватні свідчення, нерозмиті документи або неопубліковані матеріали справ у неконтрольованих AI-агентів. Defensive reporting не є запрошенням відтворювати exploit mechanics.

Editorial use: OPSEC section; useful as a checklist for small investigative teams.

opseccert-uaai-assisted-hackingincident-responseinvestigator-safety

📱 Platform Watch Платформний радар

#12

Xiaohongshu expands the platform horizon beyond the usual Western stack

Bellingcat; Daily Signal #006 · 20 April 2026

What happened

Bellingcat published a guide to using Xiaohongshu / RedNote for open-source research, explaining platform culture, search behaviour, Chinese-language searching, censorship and preservation needs.

Why it matters

For Ukraine-related OSINT, Chinese-language spaces matter for sanctions evasion, dual-use supply chains, drone components, Russian narratives and diplomatic messaging. Xiaohongshu is not a political archive, but everyday platforms can preserve indirect signals.

How to use it

Search in simplified Chinese, record query terms, preserve URL/timestamp/profile ID/screenshots, and compare findings with company registries, customs data, other Chinese platforms and independent reporting.

Limits

Content is moderated, censored and demographically skewed. Translation can erase slang, coded language and platform-specific clues. Treat findings as leads, not representative public opinion.

Xiaohongshu розширює платформний горизонт за межі звичного західного набору

Bellingcat; Daily Signal #006 · 20 квітня 2026

Що сталося

Bellingcat опублікував гайд із використання Xiaohongshu / RedNote для відкритих досліджень: культура платформи, поведінка пошуку, пошук китайською, цензура й потреба негайного збереження матеріалів.

Чому це важливо

Для українського OSINT китайськомовні простори важливі через обхід санкцій, ланцюги товарів подвійного призначення, компоненти дронів, російські наративи й дипломатичні сигнали. Xiaohongshu не є політичним архівом, але повсякденні платформи можуть зберігати непрямі сигнали.

Як це застосувати

Шукайте спрощеною китайською, фіксуйте запити, зберігайте URL/час/profile ID/скриншоти й звіряйте знахідки з реєстрами компаній, митними даними, іншими китайськими платформами та незалежними медіа.

Обмеження

Контент модерується, цензурується й має демографічні викривлення. Переклад може стирати сленг, кодовану мову й platform-specific clues. Такі знахідки — це ліди, а не репрезентативна громадська думка.

Editorial use: Platform Watch section; useful for expanding source registry and search-language practice.

xiaohongshurednoteplatform-researchchinadual-use

🤖 AI Verification ШІ та верифікація

#13

Ukrainian legal AI needs tokenizer, citation and memory discipline

arXiv 2605.14890; arXiv 2604.13765; Saturday Tool Radar #010 · April–May 2026

What happened

A Ukrainian legal-text benchmark found major tokenizer and prompting differences across foundation models, including cases where few-shot prompting degraded performance. Another preprint audited how generative AI represents atrocity memory in Ukraine. Saturday Tool Radar added provenance and AI-geolocation tools such as c2patool and GeoSearch.

Why it matters

Accountability work depends on legal language, memory infrastructure and provenance. LLM output can help summarize and triage, but it can also distort Ukrainian legal terms, hallucinate status or flatten atrocity history.

How to use it

Test models on your own Ukrainian legal corpus before deployment. Prefer citation-preserving summaries, extractive outputs, human review, raw-source archiving and clear separation between evidence and model interpretation.

Limits

C2PA absence does not prove fakery; AI geolocation confidence does not prove location; LLM legal summaries are not legal evidence. The machine may sound like a judge, but so does a duck in a wig if the courtroom is badly run.

Український юридичний AI потребує дисципліни токенізації, цитат і пам’яті

arXiv 2605.14890; arXiv 2604.13765; Saturday Tool Radar #010 · квітень–травень 2026

Що сталося

Бенчмарк українських юридичних текстів показав значні відмінності токенізації та prompt-performance між foundation models, зокрема випадки, де few-shot погіршував результат. Інший препринт перевіряв, як generative AI відтворює пам’ять про злочини в Україні. Суботній Tool Radar додав інструменти provenance й AI-geolocation, зокрема c2patool і GeoSearch.

Чому це важливо

Accountability-робота залежить від юридичної мови, інфраструктури пам’яті й provenance. LLM може допомагати з резюме й triage, але може спотворювати українські юридичні терміни, галюцинувати статус або згладжувати історію злочинів.

Як це застосувати

Тестуйте моделі на власному корпусі українських юридичних текстів перед впровадженням. Віддавайте перевагу citation-preserving summaries, extractive outputs, людській перевірці, архівуванню raw sources і чіткому розділенню доказу та машинної інтерпретації.

Обмеження

Відсутність C2PA не доводить фейк; confidence AI-геолокації не доводить локацію; LLM-резюме юридичних текстів не є юридичним доказом. Машина може звучати як суддя, але й качка в перуці звучить переконливо, якщо суд погано організований.

Editorial use: AI Verification section; suitable for a future Ukrainian legal/OSINT AI benchmark note.

ai-verificationukrainian-legal-textprovenancec2pageolocationllm-risk

🧭Practical Methods

Methods

Use claim-status grids for strike reporting: confirmed, claimed, denied, geolocated, unverified and corrected.
Add harm-checks before publishing material from occupied territories, children, survivors, witnesses or evacuation contexts.
Build post-event infrastructure files instead of live route reconstructions or weak-point analysis.

🧰Tools / Datasets

Tools

War & Sanctions and Eyes on Russia are lead and verification layers, not standalone legal conclusions.
Browsertrix, ExifTool and Dangerzone form a practical preservation, metadata and safe-intake chain.
C2PA and AI-geolocation tools help triage provenance and location hypotheses, but never replace human verification.

🛡️OPSEC / Risk

OPSEC

Treat old compromise as live infrastructure: review sessions, tokens, forwarding rules and abandoned devices.
Do not feed private witness data, child-location leads or unredacted case files into uncontrolled AI agents.
Never publish private addresses, phone numbers, family data, precise shelter locations or live operational details.

Reading List

Reuters — Russia strikes Kyiv with massive missile and drone attack — Fresh Sunday anchor for claim-status and civilian-harm verification.
Reuters — Russia hits Odesa and Dnipro with drones and missiles — Multi-location strike verification and maritime incident context.
Slidstvo.Info — Russian colony chief notified of suspicion — Ukrainian accountability case linking investigation, testimony and procedure.
Truth Hounds — Foreign fighters: combatants, mercenaries or trafficking victims — Legal-methodological frame for foreign recruits in Russian forces.
Reuters — Russians covertly trained in China, sources say — Foreign-support and transfer-chain lead with strong source-status caveats.
Le Monde — Ukrainian civilians captured, imprisoned and tortured — Civilian detention as occupation infrastructure.
War & Sanctions — News and Kremlin Mouthpieces update — Ukrainian entity layer for propaganda and accountability mapping.
War & Sanctions — Components in the aggressor’s weapons — Supply-chain OSINT dataset for foreign components in Russian weapons.
CIR — Eyes on Russia Maps — Verified map layer for incident discovery and pattern analysis.
ZOiS — Resistance under occupation in Ukraine — Source-safety and visibility-risk corrective for occupied territories.
UNITED24 Media — Ukraine investigates 26 wartime sexual-violence cases — Survivor-first CRSV handling and Article 438 context.
ICDS — Taken as children to grow up as Russians — Protected OSINT workflow and Europol/ICC-linked child-tracing model.
Bellingcat — Xiaohongshu / RedNote open-source guide — Platform research beyond the usual Western source stack.
The Record — Ukraine warns Russian hackers are revisiting old attacks — Investigator OPSEC and old-compromise discipline.
arXiv — LLM evaluation on Ukrainian legal documents — Tokenizer, prompting and legal-language risk for Ukrainian accountability pipelines.