Хакери из Сјеверне Кореје украли су идентитет жене из БиХ и годинама су радили под њеним именом.
Укратко:
- Идентитет жене из БиХ кориштен за рад у САД-у
- Хакери отворили профиле на Гуру и Упwорку
- Зарађени милиони долара преко лажних идентитета
- Meta били млади ИТ стручњаци с Балкана
- БиХ упозорена на недовољну цyбер заштиту
- Сличан случај откривен и у Србији
Међу милионима налога на популарној пlatформи за тражење фрееланце послова Гуру је и налог Хане из БиХ.
Уз профилну слику, себе описује као вишег софтверског инжењера са 50 завршених пројеката.
„Можете ме контактирати у било које вријеме. Доступна сам у европској и америчкој временској зони”, гласи порука на енглеском језику у опису њеног профила.
Ко заправо стоји иза Ханиног профила?
Међутим, иза њеног профила стоји озлоглашена група сјевернокорејских хакера, позната по крађи идентитета и њиховом кориштењу како би спонзорисали своје активности, због којих су доспјели на свјетске листе санкција.
Балканска истраживачка регионална мрежа (БИРН) је до е-маил адреса жртава дошла преко извјештаја Мултиlatералног тима за праћење санкција, у којем су анализиране активности хакера из Сјеверне Кореје. Анализирајући дигиталне трагове адреса из БиХ и Србије, новинари су успјели да дођу до жртава из тих земаља и идентификују налоге које су под њиховим именом направили хакери, а које су користили да се запосле у западним фирмама.
Мултиlatерални тим за праћење санкција (МСМТ) је међународно тијело које чине Сједињене Америчке Државе, Јужна Кореја, Јапан, Велика Британија, Француска, Њемачка, Италија, Низоземска, Канада, Аустралија и Нови Зеланд. Задатак тог тијела је праћење и документовање како Сјеверна Кореја крши и заобилази санкције Уједињених нација (UN).
Како је идентитет Хане из БиХ искориштен за послове у САД-у?
Е-маил који је кориштен у Ханином случају, а који садржи дијелове њеног правог имена и презимена, омогућио је хакеру да се запосли у Сједињеним Америчким Државама (САД), наведено је у извјештају МСМТ-а.
Њен идентитет је међу 25 које су, према извјештају МСМТ-а из октобра 2025., сјевернокорејски хакери користили да се запосле углавном у америчким фирмама и зараде, како се наводи, отприлике 1,5 милиона долара у 2022., отприлике милион долара у 2023. и отприлике 350.000 долара у првој половини 2024. године.
„Највише бих вољела сазнати можда зашто баш ја“, рекла је Хана, која је пристала на разговор под условом анонимности и чији је прави идентитет познат редакцији. За свој случај је сазнала од новинара Детектора.
„Никад ниси спреман да чујеш такву врсту информације. Мислим да ће ми требати доста времена да ми се слегну те информације“, била је једна од њених првих реакција.
Анализом дигиталних трагова хакера, откривено је да је Ханин е-маил кориштен за прављење налога на неколико пlatформи за тражење посла популарних међу фрееланцерима, од којих најмање један носи Ханино име, презиме и фотографију, а које она није направила.
Иза ових налога који носе Ханино име стоји Ан Цхол Хун – сјевернокорејски хакер запослен у Корејској корпорацији за рачунарску технологију Мангyонгдае (КМЦТЦ), наведено је у извјештају МСМТ-а.
Ко стоји иза мреже лажних фрееланце профила?
У питању је ИТ корпорација са сједиштем у кинеским градовима Дандонг, на самој граници са Сјеверном Корејом и Схенyанг, у унутрашњости Кине.
Према извјештају, матична организација те корпорације је Уред за управљање 607, који спада под Министарство атомске енергије и индустрије Сјеверне Кореје. Та институција се налази под најстрожијим међународним санкцијама, јер директно управља нуклеарним програмом и развојем атомског оружја у тој земљи.
Према саопштењу америчког Министарства финансија из новембра 2025. године, а који се позива и на извјештај МСМТ-а, управо су ИТ радници фирме КМЦТЦ користили кинеске држављане као банкарске посреднике како би прикрили поријекло средстава остварених путем илегалних схема за генерисање прихода ИТ радника Сјеверне Кореје.
ИТ радник Ан Цхол Хун је, поред Ханиног, управљао с још три лажна идентитета – два из САД-а и једним из Аргентине.
Како су хакери користили старе е-маил адресе и фотографије?
У случају Хане, употријебљена је њена стара е-маил адреса, коју годинама није користила.
„Сад ми та е-маил адреса није релевантна свакако ни за што што користим и нисам је користила годинама“, објаснила је Хана.
Анализом дигиталних трагова утврђено је да се тој е-маил адреси приступало и у мају 2026. године, као и да је искориштена за прављење налога на пlatформама Гуру и Упwорк, преко којих фрееланцери проналазе послове.
На Гуру налогу, отвореном под њеним именом и уз пратећу њену фотографију, наводи се низ ИТ вјештина, као што су познавање програмских језика Пyтхон и Јавасцрипт, као и цјеновник од 30 долара по сату рада. Као Ханина локација наведено је Сарајево, иако она не живи у том граду.
Фотографија која је кориштена слабијег је квалитета.
„Профилна слика која ми је кориштена је јако, јако стара, толико стара да сам, оно, заборавила скроз да је имам. Нешто баш преко десет година старо, тако да ми је и то било чудно, што баш тај избор слике“, рекла је.
Ханин профил на пlatформи Гуру обрисан је током истраживања Детектора.
Зашто су ИТ стручњаци са Балкана привлачна мета?
У изради извјештаја у којем се наводи Ханин е-маил учествовале су и приватне компаније које су специјализоване за цyбер сигурност. Међу њима и француска Секоиа, чији су стручњаци Амори Гарсон и Максим Аркилијер пратили начине на које раде сјевернокорејски хакери.
„Оно што им (хакерима) је важно јесте да је тај идентитет стваран, чист и да изгледа европски на папиру, да не алармира, јер им је много лакше да се представљају као неки европски грађанин умјесто као амерички идентитет, напримјер“, објаснио је Аркилијер за Детектор.
Додао је и да је за хакере најбоља мета неко ко је млад, са оствареним профилом у ИТ области и идентитетом на пословној мрежи LinkedIn. Велике су шансе, како је процијенио, да ће таква особа посlatи податке и копије својих личних докумената жељеном послодавцу.
„И тако ће они све прикупити и изгледат ће као много стварнији идентитет у односу на онај који би креирали уз помоћ вјештачке интелигенције“, појаснио је Аркилијер.
Како се прикрива присуство хакера у западним компанијама?
У великом броју случаја, додао је Аркилијер, хакери из Сјеверне Кореје користе помагаче у циљаним земљама, са задатком да приме лаптоп западне компаније, а који онда омогућава заобилажење провјера, као што је она о временској зони или ИП адреси, коју носи сваки рачунар и која пружа одређене податке о томе у којој држави се он налази.
„Дакле, на крају, сјевернокорејски оператер се пријављује с било којег мјеста у свијету, а компанија види само легитимну везу са својим запослеником“, објаснио је његов колега Гарсон, додајући да на тај начин хакер може остати повезан са западном фирмом мјесецима или чак и годинама.
Како је Хана реаговала након што је сазнала за злоупотребу идентитета?
Хана је, након што је сазнала за своју ситуацију, успјела да приступи свом старом е-маилу.
„Највећи шок ми је био што нисам пронашла ништа интересантно (…) што ми исто с друге стране говори колико су они професионални у свом послу, знају што раде и вјеројатно, када су били разоткривени, све је то обрисано“, објаснила је.
У извјештају МСМТ-а се објашњава да су ИТ радници КМЦТЦ-а одржавали многобројне лажне псеудониме и идентитете на пlatформама за тражење посла и другим мрежама, те да су с њима често могли бити запослени на више од једног посла истовремено.
Гледајући у „своје“ налоге на интернету, Хана осјећа олакшање.
„Мислим да сам могла много горе проћи“, оцијенила је.
Додала је и да мисли да је ситуација могла ескалирати на много горе начине.
„Могла сам имати легалних проблема с тим, могла сам такође имати, не знам, нетко би могао узети новац (…) или доћи до неког контакта, можда неког и мог ближњег (…) И када сам све то узела у обзир, онда сам схватила – океј, није, није толико грозно“, испричала је.
Зашто је Европа постала нова мета сјевернокорејских ИТ операција?
У анализи Google Тхреат Интеллигенце Group из априла 2025. године упозорава се да операције сјевернокорејских ИТ радника нису више доминантно везане за америчко тржиште рада, већ се шире с посебним фокусом на Европу.
Основни образац, објашњава се, остао је исти – особе повезане са Сјеверном Корејом представљају се као легитимни радници на даљину, улазе у компаније кроз лажне или комбиноване идентитете и на тај начин генеришу приходе за сјевернокорејски режим, уз додатни ризик од шпијунаже, крађе података и наношења штете у пословању компанија.
Европа се у овом извјештају појављује као нова оперативна зона и као простор кроз који се гради шира инфраструктура за прикривање идентитета, запошљавање и финансијске токове ових радника.
Пlatформе које су се користиле за њихово регрутовање јесу оне попут Упwорка, Telegramа и Фрееланцера. Испlatе су се вршиле преко криптовалута, ТрансферWисеа и Паyонеера, што указује на покушај сакривања поријекла и крајњег одредишта новца.
Шта упозоравају амерички и европски стручњаци?
Џонатан Фриц, некадашњи замјеник помоћника државног секретара САД-а за питања Источне Азије и Пацифика који је у сједишту Уједињених нација у Њујорку почетком 2026. године представио извјештај међународне групе који је разоткрио активности Сјеверне Кореје, а у којем је, између осталих, и Ханина е-маил адреса, за Детектор је објаснио да су хакери те земље врло флексибилни.
„У основи, они траже мјеста гдје, знате, људи нису свјесни опасности од превара у којима су они заиста добри”, објаснио је Фриц, који је данас виши сарадник за кинеску политику у Центру за амерички напредак.
Упозорио је и да ова криминална активност финансира један од највише геостратешки пријетећих програма, односно илегални програм наоружања Сјеверне Кореје. Како је објаснио, хакери за своје активности користе кинеске банке и, између осталог, плаћања у криптовалутама, које је теже пратити.
Кад год нека држава постане мало боља у заштити себе и својих интернетских корисника, упозорио је, хакери из Сјеверне Кореје се пребацују на неко друго мјесто које је рањиво.
Зашто БиХ нема довољно капацитета за цyбер заштиту?
Саша Мрдовић, професор рачунарских мрежа на Електротехничком факултету Универзитета у Сарајеву, потврдио је за Детектор да управо БиХ нема довољно људских и институционалних капацитета, као ни законодавни оквир, који би омогућили адекватну заштиту.
„Нажалост, наши политичари имају пуно ствари које сматрају да су важније од овога, тако да мислим да су свјесни, али на некој листи онога што морају да ураде врло ријетко“, објаснио је.
Оно што се њему чини добром методом јесте упозорити доносиоце одлука да се Ханина ситуација може десити и њима.
„Јер ако би се њима десило – мислим, не желимо никоме да се деси – онда би можда мало другачије гледали на то. Али то се заиста може свакоме од нас десити што је човјек изложенији, а наши политичари, као и сви остали, јесу изложени, могу доћи у такву ситуацију“, поручио је Мрдовић.
Из Сталне мисије Босне и Херцеговине при Уједињеним нацијама, до објаве овог текста, нису одговорили на упит о томе да ли су се икада интересовали за случај у којем су сјевернокорејски хакери украли идентитет бх. грађана, као ни да ли су о томе информирали релевантне институције наше државе.
Како је идентитет грађанина Србије кориштен у истој операцији?
Google Тхреат Интеллигенце Group, у дијелу извјештаја који се односи на инфраструктуру и фацилитаторску мрежу у Европи, спомиње и Србију.
Како се објашњава, хакери из Сјеверне Кореје су користили фабриковане профиле из Србије, укључујући биографије у којима се наводе дипломе с Београдског универзитета, као и адресе боравка у Словачкој.
Један документ је садржавао и конкретне смјернице за тражење посла у Србији, укључујући препоруку да се током комуникације користи временска зона у Србији.
У извјештају Мултиlatералног тима за праћење санкција (МСМТ), поред Ханиног, наводи се још један случај крађе идентитета особе с Балкана.
У питању је идентитет Марка Зрињанина, за кога се, уз е-маил адресу која је кориштена, наводи да је из Србије.
У извјештају се наводи да је сјевернокорејски ИТ радник Ри Кwанг Хун користио тај идентитет за рад с клијентима из САД-а и Ирске.
Новинари БИРН-а су потврдили да је Марко Зрињанин стварна особа и ступили у контакт с њим. Он је одбио разговор уживо, али је у свом писаном одговору навео да не посједује е-маил адресу која се наводи у извјештају, те да су фотографије на налозима под његовим именом вјероватно преузете с неког од ИТ форума или сајта гдје је био регистрован, попут ХасхНоде, Спицеwоркс и слично.
Иако се обје државе придржавају санкција UN-а уведених Сјеверној Кореји, за разлику од БиХ, Србијасе не усклађује са санкцијама Пјонгјангу које је донијела Европска унија, и тиме не нарушава односе са савезницама те земље, Русијом и Кином. Заузврат, Сјеверна Кореја не признаје независност Косова, што је став и већине грађана Србије.
Анализа дигиталних трагова у случају Зрињанина показује да је е-маил на његово име „марко.зрињанин.уw@гмаил.com“ био активан и у мају 2026. године. Као и у Ханином случају, Зрињанинове фотографије које су кориштене слабијег су квалитета и старије.
Са е-маил адресом на његово име коју су хакери користили повезан је и Microsoft налог с његовим именом. И тај налог је креиран у аугусту 2022. и посљедњи пут кориштен је у априлу 2025. године.
БИРН је открио неколико Зрињанинових налога повезаних са е-маил адресом коју је користио хакер, а за које је Зрињанин потврдио да му нису познати.
Какву су улогу имале лажне компаније регистроване у САД-у?
Међу њима је налог на пlatформи за фрееланцере Гуру, на којем је као Зрињанинова локација уписан град Лоуисвилле у САД-у. Како се наводи, Зрињанин је на тој пlatформи од 2018. године и од тада је зарадио 43.000 долара, радећи за укупно девет фирми.
„Слободно ме контактирајте како бисмо разговарали о детаљима вашег пројекта и како бих вам могао помоћи у остваривању ваших циљева. Врло сам флексибилан у погледу радног времена и могу се преклапати с вама више од шест сати дневно“, стоји у опису профила.
На сличној пlatформи ГоЛанце, на профилу који носи име и фотографију Зрињанина, стоји да је активан од 2025. године, те да наплаћује 35 долара по сату. Такођер се наводи и да је, од када је налог отворен, одрађено 200 сати за неименоване фирме.
Према извјештају МСМТ-а, у периоду од 2024. године сјевернокорејски хакери основали су најмање двије „шкољка“ компаније регистроване у САД-у. Таква врста компанија постоји само на папиру, без имовине и запослених.
Једна од њих је Гуангхе Тецхнологy Девелопмент ЛЛЦ, за коју се наводи да су је сјевернокорејски ИТ радници стационирани у Кини користили за обезбјеђивање пословних уговора с једном неименованом компанијом из Србије и за примање упlatа преко америчке банке.
Према јавно доступним регистрима, Гуангхе Тецхнологy Девелопмент ЛЛЦ је регистрована на Флориди, а уписана овлаштена особа је Цхенгзе Ли.
Међу корпоративним документима те фирме налази се и онај из марта 2026. године у којем америчка Канцеларија за контролу стране имовине (ОФАЦ) обавјештава државни секретаријат Флориде да је Гуангхе Тецхнологy Девелопмент ЛЛЦ регистровао сјевернокорејски ИТ радник и да су све трансакције и послови које води та фирма у корист владе Сјеверне Кореје.
У званичним регистрима нема података с којом компанијом из Србије су пословали.
Посебно тужилаштво за високотехнолошки криминал са сједиштем у Београду одговорило је одречно на питање да ли им је познато да су активности сјевернокорејских ИТ радника укључивале и Србију. У тој институцији су потврдили да им се грађани до сада нису обраћали у вези са тим.
У одговору се прецизира да жртве могу поднијети кривичне пријаве Министарству унутрашњих послова или Посебном одјељењу за борбу против високотехнолошког криминала Вишег јавног тужилаштва у Београду. Такође, додаје се да све доказе, укључујући и дигиталне, треба сачувати и доставити уз кривичну пријаву.
Канцеларија за информационе технологије и електронску управу Владе Србије није одговорила на питања БИРН-а на ову тему.
Шта грађани могу урадити ако посумњају на крађу идентитета?
„Ја сам мислила да јесам заштићена, па ми се опет нешто овакво десило“, рекла је Хана.
Према њеним ријечима, свако ко мисли да му се ситуација као њена не може десити, вара се.
„Ево, ја сам сазнала да не можеш никад бити довољно опрезан, да се свашта може десити док год користимо интернет. То је једноставно нешто што постоји и може се свакоме десити“, навела је.
Хана је захвална што је сазнала за свој случај.
„Надам се да ће ова прича подићи свијест људима о томе шта се све може десити и да чак и ми у Босни, иако сматрамо да смо ми мала, ситна земља у овом свијету, оно да, да нисмо ми ради тога искључени из оваквих прича и да се таква свијест мора подизати како и за индивидуалце, тако и за власти које, за које бих вољела исто да ураде више по таквом питању“, поручила је.
