Det internationella frivilliga underrättelsenätverket InformNapalm uppmärksammade nyligen tolv år av verksamhet i Kyiv. Markeringen genomfördes utan ceremoni, pressmeddelande eller firande.
Organisationen meddelade på morgonen att dagen skulle ägnas åt tyst minne av avlidna vänner och av de stupade som dött för Ukraina sedan grundandet. Den 30 mars, “Dagen för Ordets första låga”, inleddes arbetet på nytt.
Självkännedomens väg
Grundaren Roman Burko sammanfattade verksamhetens inriktning med formuleringen att den som vandrar självkännedomens väg återvänder till utgångspunkten men höjer sig över sig själv för varje varv.
Man möter ofta samma problem, frågor och utmaningar i livet. Skillnaden är att man varje gång har lärt sig något nytt och därför förstår mer än tidigare.
– Roman Burko
I InformNapalms fall syftar den på en återkommande konfrontation med rysk aggression och propaganda, där varje återkomst sker från en högre nivå än den föregående.
Grundandet i Sevastopol 2014
Roman Burko växte upp i Donbas och flyttade senare till Krim. Han studerade, bodde och arbetade i Sevastopol, hemmahamn för Rysslands Svartahavsflotta. Båda hans ukrainska hemorter, Donbas och Krim, kom senare att ockuperas av samma angripare. Burko har beskrivit hur den ryska aggressionen ryckte bort honom från hans invanda miljö och raserade hans tidigare livsplaner.
Under januari och februari 2014, samtidigt med Euromajdan i Kyiv, ingick Burko i en mindre krets i Sevastopol som följde händelserna. Mot slutet av februari noterade han misstänkta rörelser bland Svartahavsflottans personal, samordnade demonstrationer, det väpnade övertagandet av Krims högsta råd och ministerråd samt soldater i omärkta uniformer med modern rysk materiel. Kreml beskrev dessa som lokala självförsvarsvolontärer, medan Burko utifrån sin lokalkännedom drog slutsatsen att det rörde sig om ryska militära förband.
Burkos första tanke var väpnat motstånd, men han saknade vapen och utbildning och bedömde att sporadiskt väpnat motstånd skulle slås ner och utnyttjas som motivering för ockupationen. Han valde i stället dokumentation och informationsspridning. Han började filma och publicera material på YouTube, och andra ögonvittnen skickade in sina inspelningar. Den 2 mars 2014 nådde en av hans filmer nära två miljoner visningar under sitt första dygn, vilket bekräftade ett behov av oberoende dokumentation.
Efter att ha fått uppgift om att rysk säkerhetstjänst sökte honom och hans medarbetare lämnade gruppen Krim. De packade ner sina datorer, stängde av mobiltelefonerna och tog sig via flera transportmedel först till Kyiv och därefter till Lviv, där de fortsatte arbeta på distans. I slutet av mars 2014 skapades en webbplats med hjälp av en programmerare från Sevastopol. Webbplatsen fick namnet InformNapalm och sattes i drift den 29 mars 2014. Namnet uttrycker tanken på information som en brand som förtär angriparens osanningar.
Arbetsmetod och internationell verksamhet
InformNapalm upprätthöll en tydlig åtskillnad mellan vad som hittades och hur det hittades. Underrättelser ur öppna källor var ännu inte en etablerad disciplin. Inledningsvis byggde arbetet på insiderkällor, det vill säga personer på plats som medvetet riskerade frihet och liv. Denna källa ersattes successivt av öppna källor, eftersom ryska soldater i stor omfattning delade material på sociala nätverk, i nyhetsrapporter och i intervjuer.
InformNapalms utredare identifierade fotografier av rysk krigsmateriel, analyserade registreringsskyltar, terräng- och förbandsmärken och knöt samman fordon, förband, soldater och geografisk plats. Resultatet blev en kedja av dokumentation som placerade ryska förband i östra Ukraina under en period då Ryssland officiellt förnekade all närvaro. Publiceringen skedde på flera språk. Den ukrainska språkversionen riktade sig till ukrainsk publik, den ryska till rysk publik inklusive soldaternas anhöriga, och engelska, tyska, franska och andra europeiska språk till medie- och beslutsmiljöer i väst. Översättningarna utfördes av frivilliga ur den ukrainska diasporan och språkkunniga sympatisörer.
Burko har förklarat att han förblev anonym som en nödvändig självförsvarsåtgärd vid konfrontation med en stat vars hemligheter avslöjades. I takt med att samarbeten med hackargrupper utvecklades försågs publiceringarna med en standardformulering om att InformNapalm inte ansvarade för metoderna för informationsinhämtning. Modellen byggde på två skikt. Hackargrupperna stod för systemintrång och datautvinning, medan InformNapalm stod för analys, verifiering, geolokalisering och flerspråkig publicering.
Verifieringen krävde dubbelkontroll mot oberoende öppna källor före publicering. Material från samarbetande hackargrupper kontrollerades mot kända fakta, offentliga register, metadata och tidslinjer innan det blev en publicerad utredning. InformNapalm grundades tillsammans med den georgiske militärexperten Irakli Komaxidze, och verksamheten hade från början en internationell prägel med fler än trettio frivilliga från över tio länder, bland dem Ukraina, Georgien, Tyskland, Sydafrika, Tjeckien, Bulgarien, USA, Spanien, Frankrike, Sverige, Belarus och Portugal.
Uppbyggnad av bevisunderlag 2015 och 2016
Under 2015 publicerades 649 utredningar, det högsta årliga antalet i nätverkets historia. Det sammanföll med intensifierade strider i Donbas, bland annat vid Debaltseve och flygplatsen i Donetsk, som medförde omfattande ryska militära insatser och därmed omfattande digital dokumentation. Bevis hämtades även ur officiella handlingar, register och dödsannonser i det offentliga rummet.
Vid utgången av 2015 hade InformNapalm dokumenterat minst 75 ryska militära förband i Donbas, däribland motoriserade skyttebrigader, specialförband ur GRU, luftlandsättningsförband, signalförband, luftvärnsregementen och artilleribrigader från samtliga militärdistrikt i Ryssland. Bland dessa fanns 64:e motorskyttebrigaden, baserad i Knjaz-Volkonsk i Chabarovsk kraj. Fram till 2021 hade databasen vuxit till 101 dokumenterade förband samt fler än 50 bekräftade typer av vapen och materiel som förts in i Donbas.
Databasen över utmärkelser blev ett av de viktigaste bevisverktygen. Mellan mars 2014 och augusti 2017 kartlade InformNapalm fler än 170 fall av officiella ryska statliga utmärkelser, varav över 116 för insatser i Donbas, 19 för Krim, 6 för invasionen av Georgien och 30 för Syrien. Det ryska systemet för elektronisk krigföring Zjitel uppmärksammades i sådan utsträckning att dess operativa användbarhet försämrades sedan operatörer namngivits och förbandets läge fastställts.
Syrien utgjorde en parallell verksamhet. Ryska soldater där uppvisade samma digitala vanor som i Donbas. Under två år publicerade InformNapalm fler än 150 material om Rysslands militära närvaro i Syrien och identifierade soldater ur minst 20 ryska förband, varav 13 redan förekommit i utredningarna om Donbas.
Operationer riktade mot rysk militär underrättelsetjänst
I samarbete med det ukrainska hacktivistteamet Cyber Resistance genomförde InformNapalm två uppmärksammade operationer mot GRU-enheten 26165, även känd som APT 28 och Fancy Bear. Den första operationen ledde till en fullständig offentlig exponering av överstelöjtnant Sergej Morgatjev, befälhavare för APT 28 och efterlyst av FBI. Korrespondens, passuppgifter, hemadress, fordonsregistrering och lönebesked publicerades.
Den andra operationen resulterade i det första kända fotografiet av överste Viktor Netyksjo, befälhavare för GRU-enheten 26165 och en av tolv ryska underrättelseofficerare som åtalades i USA för inblandning i presidentvalet 2016. Fotografiet erhölls genom åtkomst till e-postkontot tillhörande Netyksjos hustru, och publiceringen skedde innan han hann lämna Moskva.
Enskilda grupper som RUH8, FalconsFlame, Trinity och CyberHunta verkade självständigt, medan InformNapalm fungerade som analytiskt samordningscentrum. I april 2016 förstörde ukrainska hackare servrarna tillhörande den ryska propagandakanalen Anna News, och en dokumentär om operationen nådde 270 000 visningar. Detta angavs som en av de utlösande faktorerna bakom bildandet av Ukrainas Cyberallians (UCA) i juni 2016, då RUH8, FalconsFlame, Trinity och CyberHunta gick samman. Tvåskiktsmodellen var därmed fullt etablerad. Ukrainas Cyberallians ansvarade för informationsinhämtningen, medan InformNapalm ansvarade för analys och publicering.
Operationerna i oktober 2016
Den 12 oktober 2016 fick Ukrainas Cyberallians åtkomst till VKontakte-kontot tillhörande Michail Polinkov, rekryterare och logistiksamordnare inom Igor Girkins separatistnätverk. Kontot innehöll över 300 000 meddelanden, däribland förteckningar över tusentals ryska legosoldater med namn, adresser, telefonnummer och fotografier. Samma natt nåddes även LiveJournal-kontot tillhörande Igor Girkin samt organisationen Donbasvolontärernas union.
Åtkomsten till Donbasvolontärernas union avslöjade detaljerade frågeformulär för frivilliga soldater med personuppgifter, hemadresser, familjekontakter, yrkesbakgrund, brottshistorik och passfotografier. Omkring 1 000 sådana personprofiler överfördes till ukrainsk underrättelsetjänst. Bland formulären fanns uppgifter inskickade via åtkomstpunkter tillgängliga endast för anställda vid FSB-avdelning K, vilket indikerade att en tjänstgörande FSB-officer använt rekryteringssystemet inifrån.
Materialet från Polinkov publicerades och användes även psykologiskt. Komprometterade separatistsidor försågs med fotografier av Vladimir Putin och med banderoller som anspelade på Girkins upprepade påstående om att leda 300 soldater. Inom några timmar lämnade över 30 000 prenumeranter de komprometterade VK-grupperna. Polinkov och en annan separatistfigur anmälde därefter varandra till FSB med ömsesidiga anklagelser om att vara läckans källa. Bland de finansiella uppgifterna i materialet fanns en post som angav kostnaden för korv vid begravningar, en utgiftspost för organisationens stupade.
Omkring två veckor senare överlämnade Ukrainas Cyberallians ett större material till InformNapalm. Fler än 2 000 e-postmeddelanden från Vladislav Surkovs inkorg, motsvarande en gigabyte korrespondens över flera år, fastställde hans personliga styrning av ledningen för de självutropade folkrepublikerna. Materialet visade att Surkov behövde godkänna varje tillsättning, budgetfördelning och propagandalinje, och att separatistledarna Zachartjenko och Plotnitskij tog emot instruktioner från Moskva.
Konsekvenser av offentliggöranden
Den 26 oktober 2016 publicerade InformNapalm intrånget, följt av en serie om femton utredningar baserade på materialet. Rysk statlig television beskrev publiceringen som förfalskad, medan FSB inledde interna utredningar som ledde till gripanden inom de egna leden.
År 2019 hänvisade den internationella gemensamma utredningsgruppen för nedskjutningen av Malaysia Airlines flyg 17, där 298 personer omkom över Donbas i juli 2014, uttryckligen till InformNapalms publiceringar av Surkov-materialet. Samma år publicerade det brittiska institutet Royal United Services Institute en formell rapport som byggde på samma material, författad av Alya Shandra och parlamentsledamoten Robert Seely.
År 2020 entledigades Vladislav Surkov från sin post som presidentrådgivare. År 2022 befann han sig i husarrest, enligt uppgift kopplad till anklagelser om förskingring av medel avsatta för Donbasprojektet. En operativ genomgång i februari 2017 dokumenterade att Ukrainas Cyberallians genomfört 39 publicerade cyberoperationer under 2016, vilket angavs motsvara omkring tio procent av den faktiska verksamheten, medan resterande del överlämnats till ukrainska säkerhetsorgan och militära förband.
Påtryckningar mot frivilliga 2019 till 2021
Från 2018 minskade publiceringsfrekvensen för InformNapalms cyberinriktade utredningar. Hösten 2019 sökte Ukrainas Cyberallians formalisera sitt förhållande till den ukrainska staten genom registrering som icke-statlig organisation hos justitieministeriet. Därefter följde ingripanden från enskilda aktörer och institutionella spänningar av det slag som uppstår i krigsmiljöer där informella förmågor verkar parallellt med formella strukturer.
Andrij Baranovitj, talesperson för Ukrainas Cyberallians, beskrev i en intervju den 4 februari 2021 att verksamheten fortsatt till februari 2020, då cyberpolis och Ukrainas säkerhetstjänst riktat anklagelser mot gruppen. Den tidigare sammanhållna Ukrainas Cyberallians började splittras under denna period. Vissa medlemmar drog sig tillbaka, medan andra fortsatte i nya former av samarbete med InformNapalm och andra partner.
InformNapalms kärnverksamhet fortsatte, särskilt dokumentationen av ryska militära förband och materiel. De två åren mellan början av 2020 och invasionen i februari 2022 utgjorde samtidigt perioden för maximal rysk förberedelse inför det fullskaliga angreppet. År 2022 formaliserade Ukraina nya frivilliga cyberstrukturer som skilde sig i ursprung, struktur och historik från de tidigare initiativen.
Återgång till kärnuppdraget i februari 2022
Den 24 februari 2022 inleddes den fullskaliga invasionen. InformNapalm publicerade samma dag personuppgifter om fler än 100 000 ryska soldater, hämtade från hackargruppen E_N_I_G_M_A, med uppmaningen att bevara uppgifterna för framtida utredningar av krigsförbrytelser. Organisationen angav att den inte verifierat varje enskild person på listan men publicerade materialet som ett verktyg.
Det förberedande arbetet visade sig omedelbart relevant. Förband som redan dokumenterats i Donbas uppträdde nu i Kyiv oblast, Cherson och Mariupol. 64:e separata motorskyttebrigaden, redan dokumenterad i Donbas, befann sig i Kyiv oblast. När Butja befriades i slutet av mars och början av april 2022 var InformNapalm bland de första att namnge det ansvariga förbandet, eftersom underlaget redan fanns.
Den nederländska domstolens fällande domar i målet om Malaysia Airlines flyg 17 i november 2022, däribland ett livstidsstraff för Igor Girkin, utgjorde en bekräftelse av den bevismetod som InformNapalm bidragit till att utveckla. Samtidigt anslöt sig en del av InformNapalms internationella medlemmar till Ukrainas försvarsmakt, och några av dem återvände inte.
Nya partner och utvidgade förmågor från 2023
Vid början av 2023 hade verksamheten i huvudsak återuppbyggts. Nya samarbetspartner inom cyberområdet hade tillkommit, däribland Cyber Resistance, 256:e cyberanfallsdivisionen, det analytiska cybercentret Fenix och Ukrainian Militant. De verkade inom samma arbetsmodell som InformNapalm utvecklat och publicerat under åtta år.
Utredningen kallad AlabugaLeaks, i tre delar och baserad på interna handlingar från Rysslands produktionsanläggning för Shahed-drönare i Alabuga, dokumenterade leveranskedjorna för de elektroniska komponenter, framdrivningssystem och navigeringsutrustning som möjliggjorde drönaren. Materialet omfattade svenska kameror från Axis, kinesisk elektronik och europeiska komponenter som dirigerats via asiatiska mellanhänder, och publicerades på flera språk. Utredningen BaumankaLeaks byggde på handlingar från Bauman-universitetet i Moskva och exponerade specifikationer för luftvärnssystem samt avtalsdetaljer för S-400-system sålda till Indien.
OKBMLeaks och strategiska militära program
Utredningen OKBMLeaks i november 2025, i samarbete med cybercentret Fenix, nådde en högre känslighetsnivå. OKBM, en konstruktionsbyrå för motortillverkning i Voronezj och underleverantör till Tupolev, penetrerades och åtkomsten upprätthölls i flera månader innan publicering. Materialet visade att Rysslands program för en strategisk smygbombare av nästa generation, PAK DA Poslannik, var försenat, eftersom hydrauliska ställdon för bombluckorna inte kunde tillverkas utan västerländska, japanska och taiwanesiska verktygsmaskiner som upphört att levereras efter sanktionerna 2022. Interna revisionsrapporter angav att produktionen i praktiken nått en återvändsgränd, med en tidsplan som sträckte sig till augusti 2027.
Den 23 oktober 2025 togs OKBM med i Europeiska unionens nittonde sanktionspaket. I mars 2026 publicerade InformNapalm en analys av handlingar som erhållits 2024 genom en kombination av mänskliga källor, öppna källor och cyberkällor, kopplade till ett projekt med kodnamnet Poljus-24, som rörde provning av moduler med anknytning till Rysslands strategiska kärnvapenstyrkor. Den tekniska uppgiften härrörde från det ryska militära förbandet 33949, som InformNapalms utredningar knutit till Rysslands utlandsunderrättelsetjänst, och utredningen publicerades på elva språk.
Operationer mot ryska militära strukturer under 2026
InformNapalm inledde sitt tolfte verksamhetsår med åtagandet att inte tillbringa någon dag utan en operation. Vid nyåret placerade det analytiska cybercentret Fenix en förändrad version av Putins traditionella nyårstal i slutna ryska militära kommunikationskanaler. Miljontals tittare såg två olika versioner, en med röd och en med svart slips. InformNapalm var först att dokumentera avvikelsen och presenterade tekniska bevis för att Kreml under en längre tid använt AI-genererade videoavatarer för Putins offentliga framträdanden.
Den 27 januari publicerade InformNapalm en utredning på tretton språk om hur Ryssland systematiskt importerat Starlink-terminaler genom nätverk för kringgående av sanktioner. Tulldeklarationer hade felaktigt klassificerat terminalerna som fordonsdelar, och dokumentation visade Starlink-utrustning på ryska Shahed-drönare. Polens utrikesminister Radosław Sikorski spred publiceringen, och inom några dagar hade Ukrainas försvarsministerium kontaktat SpaceX. SpaceX införde ett system som blockerade terminaler som inte förhandsgodkänts för ukrainskt bruk, och ryska militära kanaler rapporterade att uppkopplingarna slutat fungera, elva dagar efter publiceringen.
Den 12 februari inledde InformNapalm och 256:e cyberanfallsdivisionen en operation som utnyttjade samma sårbarhet. Ett nätverk av falska Telegram-kanaler erbjöd aktivering av Starlink-terminaler för ryska militära förband. Under en vecka inhämtades 2 420 datapaket om fientliga terminaler och deras koordinater, 31 misstänkta kontaktpersoner dokumenterades, och 5 870 dollar togs in från ryska soldater som betalat för en tjänst som inte fanns. En operation som tillkännagavs den 18 till 21 februari dokumenterade ryska drönaroperatörer som använde belarusisk reläinfrastruktur för att utöka räckvidden mot norra Ukraina. President Zelenskyj hänvisade till detta underlag när han den 18 februari 2026 införde sanktioner mot Lukasjenko.
En utredning den 8 januari kombinerade öppna källor med social ingenjörskonst riktad mot konton knutna till major Jevgenij Dmitrijev, befälhavare för ett anfallsförband inom Storm V vid fronten i Zaporizjzja. Den inhämtade kommunikationen dokumenterade ett nätverk för vapensmuggling från fronten via Krim till köpare i Europa, Asien och Afrika. Genom att utge sig för majoren omdirigerade teamet samtidigt insamlingsuppmaningar från en rysk militärbloggare med över en miljon prenumeranter till ukrainska drönarinköp.
Erkännanden och resultat
Den här dagen uppmärksammades InformNapalm offentligt av flera ukrainska försvars- och underrättelsestrukturer, däribland Ukrainas väpnade styrkors specialoperationsförband, huvuddirektoratet för underrättelse, utlandsunderrättelsetjänsten, centret för motverkande av desinformation samt styrkorna för obemannade system. InformNapalm beskrivs som ett frivilligt underrättelsenätverk, en roll som statliga underrättelsestrukturer numera öppet erkänner.
Allt material översätts av frivilliga i flera tidszoner utan maskinöversättning, ett metodval som bevarar registret och den byråkratiska precisionen i ryska officiella handlingar. Organisationen har omkring 135 000 prenumeranter på Telegram. En akut serverinsamling i februari, som krävde 53 000 ukrainska hryvnia, blev fullt finansierad inom några dagar. Lagen om Ukrainas formella cyberstyrkor, som InformNapalm förespråkat sedan 2016, fördes i slutet av februari fram till sin andra behandling i parlamentet.
Över tolv år har InformNapalm publicerat 2 142 utredningar. Materialet har åberopats i brottmål, legat till grund för sanktionspaket och fått direkta effekter på slagfältet inom kort tid efter publicering. Den 9 juli 2025 meddelade stora kammaren vid Europeiska domstolen för de mänskliga rättigheterna sin dom i målet Ukraina och Nederländerna mot Ryssland, det mest omfattande mellanstatliga målet i domstolens historia. Domen höll Ryssland ansvarigt för systematiska och utbredda kränkningar i Ukraina sedan 2014, däribland urskillningslösa militära angrepp, summariska avrättningar, tortyr, olagliga frihetsberövanden och förstörelse av civil egendom, samt för nedskjutningen av Malaysia Airlines flyg 17.
I punkt 472 i domen namnges InformNapalm tillsammans med Atlantic Council och Bellingcat. Domstolen bedömde dessa organisationers rapporter som trovärdiga och seriösa, fann att författarna var erfarna och metoderna gedigna, och angav att det inte fanns grund för att avvisa bevisningen som kategori. Margarita Sokorenko framhöll detta erkännande i samband med årsdagen.
Slutsats
InformNapalm grundades av en person som lämnade Krim med en dator och fortsatte arbetet under tolv år av eskalerande hot. Verksamheten har dokumenterat delar av Rysslands kärnvapenprogram, identifierat befälhavarna för de förband som låg bakom dödandet av civila i Butja, bidragit till utredningen av nedskjutningen av ett civilt flygplan med 298 omkomna och dokumenterat den operativa strukturen i ett krig som Ryssland förnekat under tolv år.
Den övergripande lärdomen är att öppenhet utgör en form av försvar. Underrättelser ur öppna källor, noggrant verifierade och systematiskt publicerade, kan begränsa ryska operationer på sätt som hemlig underrättelseverksamhet inte alltid kan, eftersom materialet kan delas offentligt, åberopas i domstol och återpubliceras av journalister. Den 30 mars inledde InformNapalm sitt trettonde verksamhetsår.
Denna artikel utgör en sammanfattning av Walking the Path of Fire: Twelve Years of InformNapalm’s War Against the Kremlin av Chris Sampson, publicerad den 11 maj 2026.
Ytterligare artiklar av InformNapalm
Materialet får fritt spridas och återpubliceras under förutsättning att källan anges. Licensiering enligt Creative Commons Erkännande 4.0 Internationell (CC BY 4.0). Följ oss på
Facebook, Twitter, Telegram och Slate (Sl8).
InformNapalm tar inte emot ekonomiskt stöd från någon stat eller institutionell sponsor. Verksamheten finansieras uteslutande av frivilliga insatser från enskilda volontärer och läsare. Den som önskar bidra kan göra det genom månatliga mindre donationer via plattformen BuyMeACoffee.
