Hakeri iz Sjeverne Koreje ukrali su identitet žene iz BiH i godinama su radili pod njenim imenom.
Među milionima naloga na popularnoj platformi za traženje freelance poslova Guru je i nalog Hane iz BiH.
Uz profilnu sliku, sebe opisuje kao višeg softverskog inženjera sa 50 završenih projekata.
“Možete me kontaktirati u bilo koje vrijeme. Dostupna sam u evropskoj i američkoj vremenskoj zoni”, glasi poruka na engleskom jeziku u opisu njenog profila.
Ko zapravo stoji iza Haninog profila?
Međutim, iza njenog profila stoji ozloglašena grupa sjevernokorejskih hakera, poznata po krađi identiteta i njihovom korištenju kako bi sponzorisali svoje aktivnosti, zbog kojih su dospjeli na svjetske liste sankcija.
Balkanska istraživačka regionalna mreža (BIRN) je do e-mail adresa žrtava došla preko izvještaja Multilateralnog tima za praćenje sankcija, u kojem su analizirane aktivnosti hakera iz Sjeverne Koreje. Analizirajući digitalne tragove adresa iz BiH i Srbije, novinari su uspjeli da dođu do žrtava iz tih zemalja i identifikuju naloge koje su pod njihovim imenom napravili hakeri, a koje su koristili da se zaposle u zapadnim firmama.
Multilateralni tim za praćenje sankcija (MSMT) je međunarodno tijelo koje čine Sjedinjene Američke Države, Južna Koreja, Japan, Velika Britanija, Francuska, Njemačka, Italija, Nizozemska, Kanada, Australija i Novi Zeland. Zadatak tog tijela je praćenje i dokumentovanje kako Sjeverna Koreja krši i zaobilazi sankcije Ujedinjenih nacija (UN).
Kako je identitet Hane iz BiH iskorišten za poslove u SAD-u?
E-mail koji je korišten u Haninom slučaju, a koji sadrži dijelove njenog pravog imena i prezimena, omogućio je hakeru da se zaposli u Sjedinjenim Američkim Državama (SAD), navedeno je u izvještaju MSMT-a.
Njen identitet je među 25 koje su, prema izvještaju MSMT-a iz oktobra 2025., sjevernokorejski hakeri koristili da se zaposle uglavnom u američkim firmama i zarade, kako se navodi, otprilike 1,5 miliona dolara u 2022., otprilike milion dolara u 2023. i otprilike 350.000 dolara u prvoj polovini 2024. godine.
“Najviše bih voljela saznati možda zašto baš ja”, rekla je Hana, koja je pristala na razgovor pod uslovom anonimnosti i čiji je pravi identitet poznat redakciji. Za svoj slučaj je saznala od novinara Detektora.
“Nikad nisi spreman da čuješ takvu vrstu informacije. Mislim da će mi trebati dosta vremena da mi se slegnu te informacije”, bila je jedna od njenih prvih reakcija.
Analizom digitalnih tragova hakera, otkriveno je da je Hanin e-mail korišten za pravljenje naloga na nekoliko platformi za traženje posla popularnih među freelancerima, od kojih najmanje jedan nosi Hanino ime, prezime i fotografiju, a koje ona nije napravila.
Iza ovih naloga koji nose Hanino ime stoji An Chol Hun – sjevernokorejski haker zaposlen u Korejskoj korporaciji za računarsku tehnologiju Mangyongdae (KMCTC), navedeno je u izvještaju MSMT-a.
Ko stoji iza mreže lažnih freelance profila?
U pitanju je IT korporacija sa sjedištem u kineskim gradovima Dandong, na samoj granici sa Sjevernom Korejom i Shenyang, u unutrašnjosti Kine.
Prema izvještaju, matična organizacija te korporacije je Ured za upravljanje 607, koji spada pod Ministarstvo atomske energije i industrije Sjeverne Koreje. Ta institucija se nalazi pod najstrožijim međunarodnim sankcijama, jer direktno upravlja nuklearnim programom i razvojem atomskog oružja u toj zemlji.
Prema saopštenju američkog Ministarstva finansija iz novembra 2025. godine, a koji se poziva i na izvještaj MSMT-a, upravo su IT radnici firme KMCTC koristili kineske državljane kao bankarske posrednike kako bi prikrili porijeklo sredstava ostvarenih putem ilegalnih shema za generisanje prihoda IT radnika Sjeverne Koreje.
IT radnik An Chol Hun je, pored Haninog, upravljao s još tri lažna identiteta – dva iz SAD-a i jednim iz Argentine.
Kako su hakeri koristili stare e-mail adrese i fotografije?
U slučaju Hane, upotrijebljena je njena stara e-mail adresa, koju godinama nije koristila.
“Sad mi ta e-mail adresa nije relevantna svakako ni za što što koristim i nisam je koristila godinama”, objasnila je Hana.
Analizom digitalnih tragova utvrđeno je da se toj e-mail adresi pristupalo i u maju 2026. godine, kao i da je iskorištena za pravljenje naloga na platformama Guru i Upwork, preko kojih freelanceri pronalaze poslove.
Na Guru nalogu, otvorenom pod njenim imenom i uz prateću njenu fotografiju, navodi se niz IT vještina, kao što su poznavanje programskih jezika Python i Javascript, kao i cjenovnik od 30 dolara po satu rada. Kao Hanina lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.
Fotografija koja je korištena slabijeg je kvaliteta.
“Profilna slika koja mi je korištena je jako, jako stara, toliko stara da sam, ono, zaboravila skroz da je imam. Nešto baš preko deset godina staro, tako da mi je i to bilo čudno, što baš taj izbor slike”, rekla je.
Hanin profil na platformi Guru obrisan je tokom istraživanja Detektora.
Zašto su IT stručnjaci sa Balkana privlačna meta?
U izradi izvještaja u kojem se navodi Hanin e-mail učestvovale su i privatne kompanije koje su specijalizovane za cyber sigurnost. Među njima i francuska Sekoia, čiji su stručnjaci Amori Garson i Maksim Arkilijer pratili načine na koje rade sjevernokorejski hakeri.
“Ono što im (hakerima) je važno jeste da je taj identitet stvaran, čist i da izgleda evropski na papiru, da ne alarmira, jer im je mnogo lakše da se predstavljaju kao neki evropski građanin umjesto kao američki identitet, naprimjer”, objasnio je Arkilijer za Detektor.
Dodao je i da je za hakere najbolja meta neko ko je mlad, sa ostvarenim profilom u IT oblasti i identitetom na poslovnoj mreži LinkedIn. Velike su šanse, kako je procijenio, da će takva osoba poslati podatke i kopije svojih ličnih dokumenata željenom poslodavcu.
“I tako će oni sve prikupiti i izgledat će kao mnogo stvarniji identitet u odnosu na onaj koji bi kreirali uz pomoć vještačke inteligencije”, pojasnio je Arkilijer.
Kako se prikriva prisustvo hakera u zapadnim kompanijama?
U velikom broju slučaja, dodao je Arkilijer, hakeri iz Sjeverne Koreje koriste pomagače u ciljanim zemljama, sa zadatkom da prime laptop zapadne kompanije, a koji onda omogućava zaobilaženje provjera, kao što je ona o vremenskoj zoni ili IP adresi, koju nosi svaki računar i koja pruža određene podatke o tome u kojoj državi se on nalazi.
“Dakle, na kraju, sjevernokorejski operater se prijavljuje s bilo kojeg mjesta u svijetu, a kompanija vidi samo legitimnu vezu sa svojim zaposlenikom”, objasnio je njegov kolega Garson, dodajući da na taj način haker može ostati povezan sa zapadnom firmom mjesecima ili čak i godinama.
Kako je Hana reagovala nakon što je saznala za zloupotrebu identiteta?
Hana je, nakon što je saznala za svoju situaciju, uspjela da pristupi svom starom e-mailu.
“Najveći šok mi je bio što nisam pronašla ništa interesantno (…) što mi isto s druge strane govori koliko su oni profesionalni u svom poslu, znaju što rade i vjerojatno, kada su bili razotkriveni, sve je to obrisano”, objasnila je.
U izvještaju MSMT-a se objašnjava da su IT radnici KMCTC-a održavali mnogobrojne lažne pseudonime i identitete na platformama za traženje posla i drugim mrežama, te da su s njima često mogli biti zaposleni na više od jednog posla istovremeno.
Gledajući u “svoje” naloge na internetu, Hana osjeća olakšanje.
“Mislim da sam mogla mnogo gore proći”, ocijenila je.
Dodala je i da misli da je situacija mogla eskalirati na mnogo gore načine.
“Mogla sam imati legalnih problema s tim, mogla sam takođe imati, ne znam, netko bi mogao uzeti novac (…) ili doći do nekog kontakta, možda nekog i mog bližnjeg (…) I kada sam sve to uzela u obzir, onda sam shvatila – okej, nije, nije toliko grozno”, ispričala je.
Zašto je Evropa postala nova meta sjevernokorejskih IT operacija?
U analizi Google Threat Intelligence Group iz aprila 2025. godine upozorava se da operacije sjevernokorejskih IT radnika nisu više dominantno vezane za američko tržište rada, već se šire s posebnim fokusom na Evropu.
Osnovni obrazac, objašnjava se, ostao je isti – osobe povezane sa Sjevernom Korejom predstavljaju se kao legitimni radnici na daljinu, ulaze u kompanije kroz lažne ili kombinovane identitete i na taj način generišu prihode za sjevernokorejski režim, uz dodatni rizik od špijunaže, krađe podataka i nanošenja štete u poslovanju kompanija.
Evropa se u ovom izvještaju pojavljuje kao nova operativna zona i kao prostor kroz koji se gradi šira infrastruktura za prikrivanje identiteta, zapošljavanje i finansijske tokove ovih radnika.
Platforme koje su se koristile za njihovo regrutovanje jesu one poput Upworka, Telegrama i Freelancera. Isplate su se vršile preko kriptovaluta, TransferWisea i Payoneera, što ukazuje na pokušaj sakrivanja porijekla i krajnjeg odredišta novca.
Šta upozoravaju američki i evropski stručnjaci?
Džonatan Fric, nekadašnji zamjenik pomoćnika državnog sekretara SAD-a za pitanja Istočne Azije i Pacifika koji je u sjedištu Ujedinjenih nacija u Njujorku početkom 2026. godine predstavio izvještaj međunarodne grupe koji je razotkrio aktivnosti Sjeverne Koreje, a u kojem je, između ostalih, i Hanina e-mail adresa, za Detektor je objasnio da su hakeri te zemlje vrlo fleksibilni.
“U osnovi, oni traže mjesta gdje, znate, ljudi nisu svjesni opasnosti od prevara u kojima su oni zaista dobri”, objasnio je Fric, koji je danas viši saradnik za kinesku politiku u Centru za američki napredak.
Upozorio je i da ova kriminalna aktivnost finansira jedan od najviše geostrateški prijetećih programa, odnosno ilegalni program naoružanja Sjeverne Koreje. Kako je objasnio, hakeri za svoje aktivnosti koriste kineske banke i, između ostalog, plaćanja u kriptovalutama, koje je teže pratiti.
Kad god neka država postane malo bolja u zaštiti sebe i svojih internetskih korisnika, upozorio je, hakeri iz Sjeverne Koreje se prebacuju na neko drugo mjesto koje je ranjivo.
Zašto BiH nema dovoljno kapaciteta za cyber zaštitu?
Saša Mrdović, profesor računarskih mreža na Elektrotehničkom fakultetu Univerziteta u Sarajevu, potvrdio je za Detektor da upravo BiH nema dovoljno ljudskih i institucionalnih kapaciteta, kao ni zakonodavni okvir, koji bi omogućili adekvatnu zaštitu.
“Nažalost, naši političari imaju puno stvari koje smatraju da su važnije od ovoga, tako da mislim da su svjesni, ali na nekoj listi onoga što moraju da urade vrlo rijetko”, objasnio je.
Ono što se njemu čini dobrom metodom jeste upozoriti donosioce odluka da se Hanina situacija može desiti i njima.
“Jer ako bi se njima desilo – mislim, ne želimo nikome da se desi – onda bi možda malo drugačije gledali na to. Ali to se zaista može svakome od nas desiti što je čovjek izloženiji, a naši političari, kao i svi ostali, jesu izloženi, mogu doći u takvu situaciju”, poručio je Mrdović.
Iz Stalne misije Bosne i Hercegovine pri Ujedinjenim nacijama, do objave ovog teksta, nisu odgovorili na upit o tome da li su se ikada interesovali za slučaj u kojem su sjevernokorejski hakeri ukrali identitet bh. građana, kao ni da li su o tome informirali relevantne institucije naše države.
Kako je identitet građanina Srbije korišten u istoj operaciji?
Google Threat Intelligence Group, u dijelu izvještaja koji se odnosi na infrastrukturu i facilitatorsku mrežu u Evropi, spominje i Srbiju.
Kako se objašnjava, hakeri iz Sjeverne Koreje su koristili fabrikovane profile iz Srbije, uključujući biografije u kojima se navode diplome s Beogradskog univerziteta, kao i adrese boravka u Slovačkoj.
Jedan dokument je sadržavao i konkretne smjernice za traženje posla u Srbiji, uključujući preporuku da se tokom komunikacije koristi vremenska zona u Srbiji.
U izvještaju Multilateralnog tima za praćenje sankcija (MSMT), pored Haninog, navodi se još jedan slučaj krađe identiteta osobe s Balkana.
U pitanju je identitet Marka Zrinjanina, za koga se, uz e-mail adresu koja je korištena, navodi da je iz Srbije.
U izvještaju se navodi da je sjevernokorejski IT radnik Ri Kwang Hun koristio taj identitet za rad s klijentima iz SAD-a i Irske.
Novinari BIRN-a su potvrdili da je Marko Zrinjanin stvarna osoba i stupili u kontakt s njim. On je odbio razgovor uživo, ali je u svom pisanom odgovoru naveo da ne posjeduje e-mail adresu koja se navodi u izvještaju, te da su fotografije na nalozima pod njegovim imenom vjerovatno preuzete s nekog od IT foruma ili sajta gdje je bio registrovan, poput HashNode, Spiceworks i slično.
Iako se obje države pridržavaju sankcija UN-a uvedenih Sjevernoj Koreji, za razliku od BiH, Srbija se ne usklađuje sa sankcijama Pjongjangu koje je donijela Evropska unija, i time ne narušava odnose sa saveznicama te zemlje, Rusijom i Kinom. Zauzvrat, Sjeverna Koreja ne priznaje nezavisnost Kosova, što je stav i većine građana Srbije.
Analiza digitalnih tragova u slučaju Zrinjanina pokazuje da je e-mail na njegovo ime “marko.zrinjanin.uw@gmail.com” bio aktivan i u maju 2026. godine. Kao i u Haninom slučaju, Zrinjaninove fotografije koje su korištene slabijeg su kvaliteta i starije.
Sa e-mail adresom na njegovo ime koju su hakeri koristili povezan je i Microsoft nalog s njegovim imenom. I taj nalog je kreiran u augustu 2022. i posljednji put korišten je u aprilu 2025. godine.
BIRN je otkrio nekoliko Zrinjaninovih naloga povezanih sa e-mail adresom koju je koristio haker, a za koje je Zrinjanin potvrdio da mu nisu poznati.
Kakvu su ulogu imale lažne kompanije registrovane u SAD-u?
Među njima je nalog na platformi za freelancere Guru, na kojem je kao Zrinjaninova lokacija upisan grad Louisville u SAD-u. Kako se navodi, Zrinjanin je na toj platformi od 2018. godine i od tada je zaradio 43.000 dolara, radeći za ukupno devet firmi.
“Slobodno me kontaktirajte kako bismo razgovarali o detaljima vašeg projekta i kako bih vam mogao pomoći u ostvarivanju vaših ciljeva. Vrlo sam fleksibilan u pogledu radnog vremena i mogu se preklapati s vama više od šest sati dnevno”, stoji u opisu profila.
Na sličnoj platformi GoLance, na profilu koji nosi ime i fotografiju Zrinjanina, stoji da je aktivan od 2025. godine, te da naplaćuje 35 dolara po satu. Također se navodi i da je, od kada je nalog otvoren, odrađeno 200 sati za neimenovane firme.
Prema izvještaju MSMT-a, u periodu od 2024. godine sjevernokorejski hakeri osnovali su najmanje dvije “školjka” kompanije registrovane u SAD-u. Takva vrsta kompanija postoji samo na papiru, bez imovine i zaposlenih.
Jedna od njih je Guanghe Technology Development LLC, za koju se navodi da su je sjevernokorejski IT radnici stacionirani u Kini koristili za obezbjeđivanje poslovnih ugovora s jednom neimenovanom kompanijom iz Srbije i za primanje uplata preko američke banke.
Prema javno dostupnim registrima, Guanghe Technology Development LLC je registrovana na Floridi, a upisana ovlaštena osoba je Chengze Li.
Među korporativnim dokumentima te firme nalazi se i onaj iz marta 2026. godine u kojem američka Kancelarija za kontrolu strane imovine (OFAC) obavještava državni sekretarijat Floride da je Guanghe Technology Development LLC registrovao sjevernokorejski IT radnik i da su sve transakcije i poslovi koje vodi ta firma u korist vlade Sjeverne Koreje.
U zvaničnim registrima nema podataka s kojom kompanijom iz Srbije su poslovali.
Posebno tužilaštvo za visokotehnološki kriminal sa sjedištem u Beogradu odgovorilo je odrečno na pitanje da li im je poznato da su aktivnosti sjevernokorejskih IT radnika uključivale i Srbiju. U toj instituciji su potvrdili da im se građani do sada nisu obraćali u vezi sa tim.
U odgovoru se precizira da žrtve mogu podnijeti krivične prijave Ministarstvu unutrašnjih poslova ili Posebnom odjeljenju za borbu protiv visokotehnološkog kriminala Višeg javnog tužilaštva u Beogradu. Takođe, dodaje se da sve dokaze, uključujući i digitalne, treba sačuvati i dostaviti uz krivičnu prijavu.
Kancelarija za informacione tehnologije i elektronsku upravu Vlade Srbije nije odgovorila na pitanja BIRN-a na ovu temu.
Šta građani mogu uraditi ako posumnjaju na krađu identiteta?
“Ja sam mislila da jesam zaštićena, pa mi se opet nešto ovakvo desilo”, rekla je Hana.
Prema njenim riječima, svako ko misli da mu se situacija kao njena ne može desiti, vara se.
“Evo, ja sam saznala da ne možeš nikad biti dovoljno oprezan, da se svašta može desiti dok god koristimo internet. To je jednostavno nešto što postoji i može se svakome desiti”, navela je.
Hana je zahvalna što je saznala za svoj slučaj.
“Nadam se da će ova priča podići svijest ljudima o tome šta se sve može desiti i da čak i mi u Bosni, iako smatramo da smo mi mala, sitna zemlja u ovom svijetu, ono da, da nismo mi radi toga isključeni iz ovakvih priča i da se takva svijest mora podizati kako i za individualce, tako i za vlasti koje, za koje bih voljela isto da urade više po takvom pitanju”, poručila je.
Nezavisne
