Među milijunima računa na popularnoj platformi za traženje freelance poslova Guru je i račun Hane iz BiH.
Uz profilnu sliku, sebe opisuje kao višu softversku inženjerku s 50 završenih projekata.
„Možete me kontaktirati u bilo koje vrijeme. Dostupna sam u europskoj i američkoj vremenskoj zoni”, glasi poruka na engleskom jeziku u opisu njezina profila.
Međutim, iza njezina profila stoji ozloglašena skupina sjevernokorejskih hakera, poznata po krađi identiteta i njihovu korištenju kako bi sponzorirali svoje aktivnosti, zbog kojih su dospjeli na svjetske popise sankcija.
Balkanska istraživačka regionalna mreža (BIRN) do e-mail adresa žrtava došla je preko izvješća Multilateralnog tima za praćenje sankcija, u kojem su analizirane aktivnosti hakera iz Sjeverne Koreje. Analizirajući digitalne tragove adresa iz BiH i Srbije, novinari su uspjeli doći do žrtava iz tih zemalja i identificirati račune koje su pod njihovim imenom napravili hakeri, a koje su koristili da se zaposle u zapadnim tvrtkama.
Multilateralni tim za praćenje sankcija (MSMT) je međunarodno tijelo koje čine Sjedinjene Američke Države, Južna Koreja, Japan, Velika Britanija, Francuska, Njemačka, Italija, Nizozemska, Kanada, Australija i Novi Zeland. Zadaća tog tijela je praćenje i dokumentiranje kako Sjeverna Koreja krši i zaobilazi sankcije Ujedinjenih naroda (UN).
E-mail koji je korišten u Haninom slučaju, a koji sadrži dijelove njezina pravog imena i prezimena, omogućio je hakeru da se zaposli u Sjedinjenim Američkim Državama (SAD), navedeno je u izvješću MSMT-a.
Njezin identitet je među 25 koje su, prema izvješću MSMT-a iz listopada 2025., sjevernokorejski hakeri koristili da se zaposle uglavnom u američkim tvrtkama i zarade, kako se navodi, otprilike 1,5 milijuna dolara u 2022., otprilike milijun dolara u 2023. i otprilike 350.000 dolara u prvoj polovici 2024. godine.
„Najviše bih voljela saznati možda zašto baš ja”, rekla je Hana, koja je pristala na razgovor pod uvjetom anonimnosti i čiji je pravi identitet poznat redakciji. Za svoj slučaj je saznala od novinara Detektora.
„Nikad nisi spreman da čuješ takvu vrstu informacije. Mislim da će mi trebati dosta vremena da mi se slegnu te informacije”, bila je jedna od njezinih prvih reakcija.
Kako je ukraden identitet?
Detektor je analizom digitalnih tragova hakera otkrio da je Hanin e-mail korišten za pravljenje računa na nekoliko platformi za traženje posla popularnih među freelancerima, od kojih najmanje jedan nosi Hanino ime, prezime i fotografiju, a koje ona nije napravila.
Iza ovih računa koji nose Hanino ime stoji An Chol Hun – sjevernokorejski haker zaposlen u Korejskoj korporaciji za računalnu tehnologiju Mangyongdae (KMCTC), navedeno je u izvješću MSMT-a.
U pitanju je IT korporacija sa sjedištem u kineskim gradovima Dandong, na samoj granici sa Sjevernom Korejom, i Shenyang, u unutrašnjosti Kine.
Prema izvješću, matična organizacija te korporacije je Ured za upravljanje 607, koji spada pod Ministarstvo atomske energije i industrije Sjeverne Koreje. Ta institucija se nalazi pod najstrožim međunarodnim sankcijama jer izravno upravlja nuklearnim programom i razvojem atomskog oružja u toj zemlji.
Prema priopćenju američkog Ministarstva financija iz studenoga 2025. godine, a koje se poziva i na izvješće MSMT-a, upravo su IT radnici tvrtke KMCTC koristili kineske državljane kao bankarske posrednike kako bi prikrili podrijetlo sredstava ostvarenih putem ilegalnih shema za generiranje prihoda IT radnika Sjeverne Koreje.
IT radnik An Chol Hun je, pored Haninog, upravljao s još tri lažna identiteta – dva iz SAD-a i jednim iz Argentine.
U slučaju Hane, upotrijebljena je njezina stara e-mail adresa, koju godinama nije koristila.
„Sad mi ta e-mail adresa nije relevantna svakako ni za što što koristim i nisam je koristila godinama”, objasnila je Hana.
Analizom digitalnih tragova, Detektor je utvrdio da se toj e-mail adresi pristupalo i u svibnju 2026. godine, kao i da je iskorištena za pravljenje računa na platformama Guru i Upwork, preko kojih freelanceri pronalaze poslove.
Na Guru računu, otvorenom pod njezinim imenom i uz njezinu prateću fotografiju, navodi se niz IT vještina, kao što su poznavanje programskih jezika Python i Javascript, kao i cjenik od 30 dolara po satu rada. Kao Hanina lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.
Fotografija koja je korištena slabije je kvalitete.
„Profilna slika koja mi je korištena je jako, jako stara, toliko stara da sam, ono, zaboravila skroz da je imam. Nešto baš preko deset godina staro, tako da mi je i to bilo čudno, što baš taj izbor slike”, rekla je.
Hanin profil na platformi Guru obrisan je tijekom istraživanja Detektora.
U izradi izvješća u kojem se navodi Hanin e-mail sudjelovale su i privatne tvrtke koje su specijalizirane za kibernetičku sigurnost. Među njima i francuska Sekoia, čiji su stručnjaci Amaury Garcon i Maxime Arquilliere pratili načine na koje rade sjevernokorejski hakeri.
„Ono što im (hakerima) je važno jest da je taj identitet stvaran, čist i da izgleda europski na papiru, da ne alarmira, jer im je mnogo lakše da se predstavljaju kao neki europski građanin umjesto kao američki identitet, na primjer”, objasnio je Arquilliere za Detektor.
Dodao je i da je za hakere najbolja meta netko tko je mlad, s ostvarenim profilom u IT području i identitetom na poslovnoj mreži LinkedIn. Velike su šanse, kako je procijenio, da će takva osoba poslati podatke i kopije svojih osobnih dokumenata željenom poslodavcu.
„I tako će oni sve prikupiti i izgledat će kao mnogo stvarniji identitet u odnosu na onaj koji bi kreirali uz pomoć umjetne inteligencije”, pojasnio je Arquilliere.
U velikom broju slučaja, dodao je Arquilliere, hakeri iz Sjeverne Koreje koriste pomagače u ciljanim zemljama, sa zadatkom da prime laptop zapadne tvrtke, a koji onda omogućava zaobilaženje provjera, kao što je ona o vremenskoj zoni ili IP adresi koju nosi svako računalo i koja pruža određene podatke o tome u kojoj državi se ono nalazi.
„Dakle, na kraju se sjevernokorejski operater prijavljuje s bilo kojeg mjesta u svijetu, a tvrtka vidi samo legitimnu vezu sa svojim zaposlenikom”, objasnio je njegov kolega Garcon, dodajući da na taj način haker može ostati povezan sa zapadnom tvrtkom mjesecima ili čak i godinama.
Hana je, nakon što je saznala za svoju situaciju, uspjela pristupiti svojem starom e-mailu.
„Najveći šok mi je bio što nisam pronašla ništa interesantno (…) što mi isto s druge strane govori koliko su oni profesionalni u svom poslu, znaju što rade i vjerojatno, kada su bili razotkriveni, sve je to obrisano”, objasnila je.
U izvješću MSMT-a objašnjava se da su IT radnici KMCTC-a održavali mnogobrojne lažne pseudonime i identitete na platformama za traženje posla i drugim mrežama, te da su s njima često mogli biti zaposleni na više od jednog posla istovremeno.
Gledajući u „svoje” račune na internetu, Hana osjeća olakšanje.
„Mislim da sam mogla mnogo gore proći”, ocijenila je.
Dodala je i da misli da je situacija mogla eskalirati na mnogo gore načine.
„Mogla sam imati pravnih problema s tim, mogla sam također imati, ne znam, netko bi mogao uzeti novac (…) ili doći do nekog kontakta, možda nekog i mog bližnjeg (…) I kada sam sve to uzela u obzir, onda sam shvatila – okej, nije, nije toliko grozno”, ispričala je.
Operacija koja se širi na Europu
U analizi Google Threat Intelligence Group iz travnja 2025. godine upozorava se da operacije sjevernokorejskih IT radnika nisu više dominantno vezane za američko tržište rada, već se šire s posebnim fokusom na Europu.
Osnovni obrazac, objašnjava se, ostao je isti – osobe povezane sa Sjevernom Korejom predstavljaju se kao legitimni radnici na daljinu, ulaze u tvrtke kroz lažne ili kombinirane identitete i na taj način generiraju prihode za sjevernokorejski režim, uz dodatni rizik od špijunaže, krađe podataka i nanošenja štete u poslovanju tvrtki.
Europa se u ovom izvješću pojavljuje kao nova operativna zona i kao prostor kroz koji se gradi šira infrastruktura za prikrivanje identiteta, zapošljavanje i financijske tokove ovih radnika.
Platforme koje su se koristile za njihovo regrutiranje jesu one poput Upworka, Telegrama i Freelancera. Isplate su se vršile preko kriptovaluta, TransferWisea i Payoneera, što ukazuje na pokušaj skrivanja podrijetla i krajnjeg odredišta novca.
Jonathan Fritz, nekadašnji zamjenik pomoćnika državnog tajnika SAD-a za pitanja Istočne Azije i Pacifika, koji je u sjedištu Ujedinjenih naroda u New Yorku početkom 2026. godine predstavio izvješće međunarodne grupe koje je razotkrilo aktivnosti Sjeverne Koreje, a u kojem je, između ostalih, i Hanina e-mail adresa, za Detektor je objasnio da su hakeri te zemlje vrlo fleksibilni.
„U osnovi, oni traže mjesta gdje, znate, ljudi nisu svjesni opasnosti od prijevara u kojima su oni doista dobri”, objasnio je Fritz, koji je danas viši suradnik za kinesku politiku u Centru za američki napredak.
Upozorio je i da ova kriminalna aktivnost financira jedan od geostrateški najprijetećih programa, odnosno ilegalni program naoružanja Sjeverne Koreje. Kako je objasnio, hakeri za svoje aktivnosti koriste kineske banke i, između ostalog, plaćanja u kriptovalutama, koje je teže pratiti.
Kad god neka država postane malo bolja u zaštiti sebe i svojih internetskih korisnika, upozorio je, hakeri iz Sjeverne Koreje prebacuju se na neko drugo mjesto koje je ranjivo.
Saša Mrdović, profesor računalnih mreža na Elektrotehničkom fakultetu Sveučilišta u Sarajevu, potvrdio je za Detektor da upravo BiH nema dovoljno ljudskih i institucionalnih kapaciteta, kao ni zakonodavni okvir, koji bi omogućili adekvatnu zaštitu.
„Nažalost, naši političari imaju puno stvari koje smatraju da su važnije od ovoga, tako da mislim da su svjesni, ali na nekoj listi onoga što moraju napraviti vrlo rijetko”, objasnio je za Detektor.
Ono što se njemu čini dobrom metodom jest upozoriti donositelje odluka da se Hanina situacija može dogoditi i njima.
„Jer ako bi se njima dogodilo – mislim, ne želimo nikome da se dogodi – onda bi možda malo drugačije gledali na to. Ali to se doista može svakome od nas dogoditi što je čovjek izloženiji, a naši političari, kao i svi ostali, jesu izloženi, mogu doći u takvu situaciju”, poručio je Mrdović.
Iz Stalne misije Bosne i Hercegovine pri Ujedinjenim narodima, do objave ovog teksta, nisu odgovorili na upit novinara Detektora o tome jesu li se ikada interesirali za slučaj u kojem su sjevernokorejski hakeri ukrali identitet bh. građana, kao ni jesu li o tome informirali relevantne institucije naše države.
I Srbija u mreži širenja sjevernokorejskih hakera
Google Threat Intelligence Group, u dijelu izvješća koji se odnosi na infrastrukturu i mrežu pomagača u Europi, spominje i Srbiju.
Kako se objašnjava, hakeri iz Sjeverne Koreje koristili su fabricirane profile iz Srbije, uključujući životopise u kojima se navode diplome s beogradskog sveučilišta, kao i adrese boravka u Slovačkoj.
Jedan dokument sadržavao je i konkretne smjernice za traženje posla u Srbiji, uključujući preporuku da se tijekom komunikacije koristi vremenska zona u Srbiji.
U izvješću Multilateralnog tima za praćenje sankcija (MSMT), pored Haninog, navodi se još jedan slučaj krađe identiteta osobe s Balkana.
U pitanju je identitet Marka Zrinjanina, za koga se, uz e-mail adresu koja je korištena, navodi da je iz Srbije.
U izvješću se navodi da je sjevernokorejski IT radnik Ri Kwang Hun koristio taj identitet za rad s klijentima iz SAD-a i Irske.
Novinari BIRN-a potvrdili su da je Marko Zrinjanin stvarna osoba te stupili u kontakt s njim.
On je odbio razgovor uživo, ali je u svojem pisanom odgovoru naveo da ne posjeduje e-mail adresu koja se navodi u izvješću te da su fotografije na računima pod njegovim imenom vjerojatno preuzete s nekog od IT foruma ili stranica gdje je bio registriran, poput HashNodea, Spiceworksa i slično.
Dodao je da je „u prvom trenutku bio zabrinut, ali kada je shvatio da su njegovo ime i podaci korišteni samo da se zaobiđu sankcije zapadnih ugnjetavača koji propagiraju kvazidemokraciju i lažne slobode, osjećao se dosta bolje”.
Iako se obje države pridržavaju sankcija UN-a uvedenih Sjevernoj Koreji, za razliku od BiH, Srbija se ne usklađuje sa sankcijama Pjongjangu koje je donijela Europska unija i time ne narušava odnose sa saveznicama te zemlje, Rusijom i Kinom. Zauzvrat, Sjeverna Koreja ne priznaje neovisnost Kosova, što je stav i većine građana Srbije.
Analiza digitalnih tragova u slučaju Zrinjanina pokazuje da je e-mail na njegovo ime „marko.zrinjanin.uw@gmail.com” bio aktivan i u svibnju 2026. godine.
Kao i u Haninom slučaju, Zrinjaninove fotografije koje su korištene slabije su kvalitete i starije.
S e-mail adresom na njegovo ime koju su hakeri koristili povezan je i Microsoftov račun s njegovim imenom. I taj je račun kreiran u kolovozu 2022. i posljednji put korišten je u travnju 2025. godine.
BIRN je otkrio nekoliko Zrinjaninovih računa povezanih s e-mail adresom koju je koristio haker, a za koje je Zrinjanin potvrdio da mu nisu poznati.
Među njima je račun na platformi za freelancere Guru, na kojem je kao Zrinjaninova lokacija upisan grad Louisville u SAD-u. Kako se navodi, Zrinjanin je na toj platformi od 2018. godine i od tada je zaradio 43.000 dolara, radeći za ukupno devet tvrtki.
„Slobodno me kontaktirajte kako bismo razgovarali o detaljima vašeg projekta i kako bih vam mogao pomoći u ostvarivanju vaših ciljeva. Vrlo sam fleksibilan u pogledu radnog vremena i mogu se preklapati s vama više od šest sati dnevno”, stoji u opisu profila.
Na sličnoj platformi GoLance, na profilu koji nosi ime i fotografiju Zrinjanina, stoji da je aktivan od 2025. godine te da naplaćuje 35 dolara po satu. Također se navodi i da je, otkada je račun otvoren, odrađeno 200 sati za neimenovane tvrtke.
Fiktivna tvrtka
Prema izvješću MSMT-a, u razdoblju od 2024. godine sjevernokorejski hakeri osnovali su najmanje dvije fiktivne („školjka”) tvrtke registrirane u SAD-u. Takva vrsta tvrtki postoji samo na papiru, bez imovine i zaposlenih.
Jedna od njih je Guanghe Technology Development LLC, za koju se navodi da su je sjevernokorejski IT radnici stacionirani u Kini koristili za osiguravanje poslovnih ugovora s jednom neimenovanom tvrtkom iz Srbije i za primanje uplata preko američke banke.
Prema javno dostupnim registrima, Guanghe Technology Development LLC je registrirana na Floridi, a upisana ovlaštena osoba je Chengze Li.
Među korporativnim dokumentima te tvrtke nalazi se i onaj iz ožujka 2026. godine u kojem američki Ured za kontrolu strane imovine (OFAC) obavještava državno tajništvo Floride da je Guanghe Technology Development LLC registrirao sjevernokorejski IT radnik i da su sve transakcije i poslovi koje vodi ta tvrtka u korist vlade Sjeverne Koreje.
U službenim registrima nema podataka s kojom tvrtkom iz Srbije su poslovali.
Posebno tužiteljstvo za visokotehnološki kriminal sa sjedištem u Beogradu odgovorilo je niječno na pitanje je li im poznato da su aktivnosti sjevernokorejskih IT radnika uključivale i Srbiju. U toj instituciji potvrdili su da im se građani do sada nisu obraćali u vezi s tim.
U odgovoru se precizira da žrtve mogu podnijeti kaznene prijave Ministarstvu unutarnjih poslova ili Posebnom odjelu za borbu protiv visokotehnološkog kriminala Višeg javnog tužiteljstva u Beogradu. Također, dodaje se da sve dokaze, uključujući i digitalne, treba sačuvati i dostaviti uz kaznenu prijavu.
Ured za informacijske tehnologije i elektroničku upravu Vlade Srbije nije odgovorio na pitanja BIRN-a na ovu temu.
„Ja sam mislila da jesam zaštićena, pa mi se opet nešto ovakvo dogodilo”, rekla je Hana.
Prema njezinim riječima, svatko tko misli da mu se situacija kao njezina ne može dogoditi, vara se.
„Evo, ja sam saznala da ne možeš nikad biti dovoljno oprezan, da se svašta može dogoditi dok god koristimo internet. To je jednostavno nešto što postoji i može se svakome dogoditi”, navela je.
Hana je zahvalna što je saznala za svoj slučaj.
„Nadam se da će ova priča podići svijest ljudima o tome što se sve može dogoditi i da čak i mi u Bosni, iako smatramo da smo mi mala, sitna zemlja u ovom svijetu, ono da, da nismo mi radi toga isključeni iz ovakvih priča i da se takva svijest mora podizati kako za pojedince, tako i za vlasti za koje bih voljela da isto urade više po takvom pitanju”, poručila je.
Istina.media
