VIDEO  Kako su hakeri iz Sjeverne Koreje ukrali identitet djevojci iz Sarajeva i koji im je zapravo cilj?

Stara adresa e-pošte i osobni podaci djevojke iz Bosne i Hercegovine završili su u mreži lažnih profila koje su, prema međunarodnom izvješću, koristili sjevernokorejski hakeri kako bi se zapošljavali u zapadnim tvrtkama i financirali aktivnosti režima u Pyongyangu.

Među milijunima korisničkih računa na popularnoj platformi za traženje honorarnih poslova Guru nalazi se i račun Hane iz BiH, a cijelu priču donosi Detektor. 

Uz profilnu fotografiju, Hana je opisana kao viša softverska inženjerka s 50 završenih projekata.

"Možete me kontaktirati u bilo koje vrijeme. Dostupna sam u europskoj i američkoj vremenskoj zoni", navodi se na engleskom jeziku u opisu njezina profila.

Međutim, iza njezina profila stoji ozloglašena skupina sjevernokorejskih hakera, poznata po krađi identiteta i njihovu korištenju za financiranje aktivnosti zbog kojih su dospjeli na svjetske liste sankcija.

Balkanska istraživačka regionalna mreža (BIRN) do adresa e-pošte žrtava došla je preko izvješća Multilateralnog tima za praćenje sankcija, u kojem su analizirane aktivnosti hakera iz Sjeverne Koreje. Analizirajući digitalne tragove adresa iz BiH i Srbije, novinari su uspjeli doći do žrtava iz tih zemalja i identificirati korisničke račune koje su hakeri otvorili pod njihovim imenima, a potom ih koristili za zapošljavanje u zapadnim tvrtkama.

Multilateralni tim za praćenje sankcija (MSMT) međunarodno je tijelo koje čine Sjedinjene Američke Države, Južna Koreja, Japan, Velika Britanija, Francuska, Njemačka, Italija, Nizozemska, Kanada, Australija i Novi Zeland. Zadatak tog tijela je praćenje i dokumentiranje načina na koje Sjeverna Koreja krši i zaobilazi sankcije Ujedinjenih naroda (UN).

Adresa e-pošte korištena u Haninu slučaju, a koja sadrži dijelove njezina stvarnog imena i prezimena, omogućila je hakeru da se zaposli u Sjedinjenim Američkim Državama (SAD), navedeno je u izvješću MSMT-a.

Njezin identitet je među 25 identiteta koje su, prema izvješću MSMT-a iz listopada 2025., sjevernokorejski hakeri koristili kako bi se zaposlili uglavnom u američkim tvrtkama i zaradili, kako se navodi, približno 1,5 milijuna dolara u 2022., približno milijun dolara u 2023. i približno 350.000 dolara u prvoj polovini 2024. godine.

"Najviše bih voljela saznati možda zašto baš ja", rekla je Hana, koja je pristala na razgovor uz uvjet anonimnosti i čiji je stvarni identitet poznat redakciji. Za svoj slučaj saznala je od novinara Detektora.

"Nikad nisi spreman čuti takvu vrstu informacije. Mislim da će mi trebati dosta vremena da mi se slegnu te informacije", bila je jedna od njezinih prvih reakcija.

Pogledajte Haninu ispovijest: Kako su mi sjevernokorejski hakeri ukrali identitet

Detektor Magazin: Kako su hakeri iz Sjeverne Koreje ukrali identitet djevojke iz BiH

Kako je ukraden identitet?

Detektor je, analizom digitalnih tragova hakera, otkrio da je Hanina adresa e-pošte korištena za otvaranje korisničkih računa na nekoliko platformi za traženje posla popularnih među freelancerima, od kojih najmanje jedan nosi Hanino ime, prezime i fotografiju, a koje ona nije otvorila.

Iza tih korisničkih računa koji nose Hanino ime stoji An Chol Hun, sjevernokorejski haker zaposlen u Korejskoj korporaciji za računalnu tehnologiju Mangyongdae (KMCTC), navedeno je u izvješću MSMT-a.

Riječ je o IT korporaciji sa sjedištem u kineskim gradovima Dandongu, na samoj granici sa Sjevernom Korejom, i Shenyangu, u unutrašnjosti Kine.

Prema izvješću, matična organizacija te korporacije je Ured za upravljanje 607, koji djeluje pri Ministarstvu atomske energije i industrije Sjeverne Koreje. Ta institucija nalazi se pod najstrožim međunarodnim sankcijama jer izravno upravlja nuklearnim programom i razvojem atomskog oružja u toj zemlji.

Prema priopćenju američkog Ministarstva financija iz studenoga 2025. godine, koje se poziva i na izvješće MSMT-a, upravo su IT radnici tvrtke KMCTC koristili kineske državljane kao bankarske posrednike kako bi prikrili podrijetlo sredstava ostvarenih putem nezakonitih shema za stvaranje prihoda IT radnika Sjeverne Koreje.

IT radnik An Chol Hun, osim Haninim, upravljao je s još tri lažna identiteta, dva iz SAD-a i jednim iz Argentine.

Putovnica hakera koji je koristio Hanin identitet za kibernetičke operacije Sjeverne Koreje. Foto: izvješće MSMT-a

U Haninu slučaju upotrijebljena je njezina stara adresa e-pošte, koju godinama nije koristila.

"Sad mi ta adresa e-pošte nije relevantna svakako ni za što što koristim i nisam je koristila godinama", objasnila je Hana.

Analizom digitalnih tragova Detektor je utvrdio da se toj adresi e-pošte pristupalo i u svibnju 2026. godine, kao i da je iskorištena za otvaranje korisničkih računa na platformama Guru i Upwork, preko kojih freelanceri pronalaze poslove.

Na računu na platformi Guru, otvorenom pod njezinim imenom i uz njezinu fotografiju, navodi se niz IT vještina, poput poznavanja programskih jezika Python i JavaScript, kao i cjenik od 30 dolara po satu rada. Kao Hanina lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.

Korištena fotografija slabije je kvalitete.

"Profilna slika koja mi je korištena jako je, jako stara, toliko stara da sam, ono, potpuno zaboravila da je imam. Nešto baš staro više od deset godina, tako da mi je i to bilo čudno, zašto baš taj izbor slike", rekla je.

Hanin profil na platformi Guru obrisan je tijekom istraživanja Detektora.

U izradi izvješća u kojem se navodi Hanina adresa e-pošte sudjelovale su i privatne tvrtke specijalizirane za kibernetičku sigurnost. Među njima je i francuska Sekoia, čiji su stručnjaci Amaury Garcon i Maxime Arquilliere pratili načine na koje djeluju sjevernokorejski hakeri.

"Ono što je njima, hakerima, važno jest da je taj identitet stvaran, čist i da na papiru izgleda europski, da ne izaziva alarm, jer im je mnogo lakše predstavljati se kao neki europski građanin umjesto, primjerice, kao američki identitet", objasnio je Arquilliere za Detektor.

Dodao je i da je za hakere najbolja meta netko tko je mlad, s ostvarenim profilom u IT području i identitetom na poslovnoj mreži LinkedIn. Velike su šanse, kako je procijenio, da će takva osoba poslati podatke i preslike svojih osobnih dokumenata željenom poslodavcu.

"I tako će oni sve prikupiti i izgledat će kao mnogo stvarniji identitet u odnosu na onaj koji bi stvorili uz pomoć umjetne inteligencije", pojasnio je Arquilliere.

U velikom broju slučajeva, dodao je Arquilliere, hakeri iz Sjeverne Koreje koriste pomagače u ciljanim zemljama, sa zadatkom da prime prijenosno računalo zapadne tvrtke, što zatim omogućava zaobilaženje provjera, poput one o vremenskoj zoni ili IP adresi koju ima svako računalo i koja pruža određene podatke o tome u kojoj se državi ono nalazi.

"Dakle, na kraju se sjevernokorejski operater prijavljuje s bilo kojeg mjesta u svijetu, a tvrtka vidi samo legitimnu vezu sa svojim zaposlenikom", objasnio je njegov kolega Garcon, dodajući da na taj način haker može ostati povezan sa zapadnom tvrtkom mjesecima ili čak godinama.

Hanin lažni profil na platformi Guru koji su kreirali sjevernokorejski hakeri. Foto: Screenshot

Nakon što je saznala za svoju situaciju, Hana je uspjela pristupiti svojoj staroj adresi e-pošte.

"Najveći šok mi je bio što nisam pronašla ništa zanimljivo (...) što mi isto, s druge strane, govori koliko su oni profesionalni u svom poslu, znaju što rade i vjerojatno je, kada su razotkriveni, sve to obrisano", objasnila je.

U izvješću MSMT-a objašnjava se da su IT radnici KMCTC-a održavali brojne lažne pseudonime i identitete na platformama za traženje posla i drugim mrežama te da su s njima često mogli biti zaposleni na više od jednom poslu istodobno.

Gledajući u "svoje" korisničke račune na internetu, Hana osjeća olakšanje.

"Mislim da sam mogla mnogo gore proći", ocijenila je.

Dodala je i da smatra kako je situacija mogla eskalirati na mnogo gore načine.

"Mogla sam imati pravnih problema s tim, mogla sam također imati, ne znam, netko je mogao uzeti novac (...) ili doći do nekog kontakta, možda i nekog mog bližnjeg (...) I kada sam sve to uzela u obzir, onda sam shvatila – okej, nije, nije toliko grozno", ispričala je.

Shema sjevernokorejskog državnog aparata u kojem djeluju i hakeri s lažnim identitetima. Foto: izvješće MSMT-a

Operacija koja se širi na Europu

U analizi Google Threat Intelligence Group iz travnja 2025. godine upozorava se da operacije sjevernokorejskih IT radnika više nisu dominantno vezane uz američko tržište rada, već se šire s posebnim fokusom na Europu.

Osnovni obrazac, objašnjava se, ostao je isti. Osobe povezane sa Sjevernom Korejom predstavljaju se kao legitimni radnici na daljinu, ulaze u tvrtke kroz lažne ili kombinirane identitete i na taj način stvaraju prihode za sjevernokorejski režim, uz dodatni rizik od špijunaže, krađe podataka i nanošenja štete poslovanju tvrtki.

Europa se u ovom izvješću pojavljuje kao nova operativna zona i kao prostor kroz koji se gradi šira infrastruktura za prikrivanje identiteta, zapošljavanje i financijske tokove tih radnika.

Platforme korištene za njihovo regrutiranje su one poput Upworka, Telegrama i Freelancera. Isplate su se obavljale preko kriptovaluta, TransferWisea i Payoneera, što upućuje na pokušaj prikrivanja podrijetla i krajnjeg odredišta novca.

Jonathan Fritz, nekadašnji zamjenik pomoćnika državnog tajnika SAD-a za pitanja Istočne Azije i Pacifika, koji je u sjedištu Ujedinjenih naroda u New Yorku početkom 2026. godine predstavio izvješće međunarodne skupine koja je razotkrila aktivnosti Sjeverne Koreje, a u kojem je, među ostalima, i Hanina adresa e-pošte, za Detektor je objasnio da su hakeri te zemlje vrlo fleksibilni.

"U osnovi, oni traže mjesta gdje, znate, ljudi nisu svjesni opasnosti od prijevara u kojima su oni zaista dobri", objasnio je Fritz, koji je danas viši suradnik za kinesku politiku u Centru za američki napredak.

Upozorio je i da ova kriminalna aktivnost financira jedan od geostrateški najprijetećih programa, odnosno nezakoniti program naoružanja Sjeverne Koreje. Kako je objasnio, hakeri za svoje aktivnosti koriste kineske banke i, među ostalim, plaćanja u kriptovalutama, koje je teže pratiti.

Kad god neka država postane malo bolja u zaštiti sebe i svojih internetskih korisnika, upozorio je, hakeri iz Sjeverne Koreje prebacuju se na drugo ranjivo mjesto.

Saša Mrdović, profesor računalnih mreža na Elektrotehničkom fakultetu Sveučilišta u Sarajevu, potvrdio je za Detektor da BiH nema dovoljno ljudskih i institucionalnih kapaciteta, kao ni zakonodavni okvir koji bi omogućili odgovarajuću zaštitu.

"Nažalost, naši političari imaju puno stvari koje smatraju važnijima od ovoga, tako da mislim da su svjesni, ali na nekoj listi onoga što moraju uraditi vrlo rijetko", objasnio je za Detektor.

Ono što se njemu čini dobrom metodom jest upozoriti donositelje odluka da se Hanina situacija može dogoditi i njima.

"Jer ako bi se njima dogodilo – mislim, ne želimo nikome da se dogodi – onda bi možda malo drukčije gledali na to. Ali to se zaista može svakome od nas dogoditi što je čovjek izloženiji, a naši političari, kao i svi ostali, jesu izloženi, mogu doći u takvu situaciju", poručio je Mrdović.

Iz Stalne misije Bosne i Hercegovine pri Ujedinjenim narodima, do objave ovog teksta, nisu odgovorili na upit novinara Detektora o tome jesu li se ikada zanimali za slučaj u kojem su sjevernokorejski hakeri ukrali identitet bh. građana, kao ni o tome jesu li o tome informirali relevantne institucije naše države.

Ilustracija sjevernokorejskih operacija, prema izvješću MSMT-a. Foto: Detektor

I Srbija u mreži širenja sjevernokorejskih hakera

Google Threat Intelligence Group u dijelu izvješća koji se odnosi na infrastrukturu i mrežu pomagača u Europi spominje i Srbiju.

Kako se objašnjava, hakeri iz Sjeverne Koreje koristili su krivotvorene profile iz Srbije, uključujući životopise u kojima se navode diplome s Beogradskog sveučilišta, kao i adrese boravka u Slovačkoj.

Jedan dokument sadržavao je i konkretne smjernice za traženje posla u Srbiji, uključujući preporuku da se tijekom komunikacije koristi vremenska zona u Srbiji.

U izvješću Multilateralnog tima za praćenje sankcija (MSMT), osim Hanina, navodi se još jedan slučaj krađe identiteta osobe s Balkana.

Riječ je o identitetu Marka Zrinjanina, za kojega se, uz adresu e-pošte koja je korištena, navodi da je iz Srbije.

U izvješću se navodi da je sjevernokorejski IT radnik Ri Kwang Hun koristio taj identitet za rad s klijentima iz SAD-a i Irske.

Novinari BIRN-a potvrdili su da je Marko Zrinjanin stvarna osoba i stupili su s njim u kontakt.

On je odbio razgovor uživo, ali je u pisanom odgovoru naveo da ne posjeduje adresu e-pošte koja se navodi u izvješću te da su fotografije na korisničkim računima pod njegovim imenom vjerojatno preuzete s nekog od IT foruma ili internetske stranice na kojoj je bio registriran, poput HashNodea, Spiceworksa i sličnih platformi.

Dodao je da je "u prvom trenutku bio zabrinut, ali kada je shvatio da su njegovo ime i podaci korišteni samo kako bi se zaobišle sankcije zapadnih ugnjetavača koji propagiraju kvazidemokraciju i lažne slobode, osjećao se dosta bolje".

Iako se obje države pridržavaju sankcija UN-a uvedenih Sjevernoj Koreji, za razliku od BiH, Srbija se ne usklađuje sa sankcijama Pyongyangu koje je donijela Europska unija te time ne narušava odnose sa saveznicama te zemlje, Rusijom i Kinom. Zauzvrat, Sjeverna Koreja ne priznaje neovisnost Kosova, što je stav i većine građana Srbije.

Analiza digitalnih tragova u slučaju Zrinjanina pokazuje da je adresa e-pošte na njegovo ime "[marko.zrinjanin.uw@gmail.com](mailto:marko.zrinjanin.uw@gmail.com)" bila aktivna i u svibnju 2026. godine.

Kao i u Haninu slučaju, korištene Zrinjaninove fotografije slabije su kvalitete i starije.

S adresom e-pošte na njegovo ime, koju su koristili hakeri, povezan je i Microsoftov korisnički račun s njegovim imenom. I taj je račun otvoren u kolovozu 2022., a posljednji put korišten je u travnju 2025. godine.

BIRN je otkrio nekoliko Zrinjaninovih korisničkih računa povezanih s adresom e-pošte koju su koristili hakeri, a za koje je Zrinjanin potvrdio da mu nisu poznati.

Među njima je račun na platformi za freelancere Guru, na kojem je kao Zrinjaninova lokacija upisan grad Louisville u SAD-u. Kako se navodi, Zrinjanin je na toj platformi od 2018. godine i od tada je zaradio 43.000 dolara, radeći za ukupno devet tvrtki.

"Slobodno me kontaktirajte kako bismo razgovarali o detaljima vašeg projekta i kako bih vam mogao pomoći u ostvarivanju vaših ciljeva. Vrlo sam fleksibilan u pogledu radnog vremena i mogu se preklapati s vama više od šest sati dnevno", stoji u opisu profila.

Na sličnoj platformi GoLance, na profilu koji nosi ime i fotografiju Zrinjanina, stoji da je aktivan od 2025. godine te da naplaćuje 35 dolara po satu. Također se navodi i da je od otvaranja korisničkog računa odrađeno 200 sati za neimenovane tvrtke.

Fiktivne tvrtke

Prema izvješću MSMT-a, u razdoblju od 2024. godine sjevernokorejski hakeri osnovali su najmanje dvije fiktivne tvrtke registrirane u SAD-u. Takva vrsta tvrtki postoji samo na papiru, bez imovine i zaposlenih.

Jedna od njih je Guanghe Technology Development LLC, za koju se navodi da su je sjevernokorejski IT radnici stacionirani u Kini koristili za osiguravanje poslovnih ugovora s jednom neimenovanom tvrtkom iz Srbije i za primanje uplata preko američke banke.

Prema javno dostupnim registrima, Guanghe Technology Development LLC registriran je na Floridi, a upisana ovlaštena osoba je Chengze Li.

Među korporativnim dokumentima te tvrtke nalazi se i onaj iz ožujka 2026. godine, u kojem američki Ured za kontrolu strane imovine (OFAC) obavještava Državni tajništvo Floride da je Guanghe Technology Development LLC registrirao sjevernokorejski IT radnik i da su sve transakcije i poslovi koje vodi ta tvrtka u korist vlade Sjeverne Koreje.

U službenim registrima nema podataka s kojom su tvrtkom iz Srbije poslovali.

Posebno tužiteljstvo za visokotehnološki kriminal sa sjedištem u Beogradu odgovorilo je negativno na pitanje je li im poznato da su aktivnosti sjevernokorejskih IT radnika uključivale i Srbiju. U toj instituciji potvrdili su da im se građani do sada nisu obraćali u vezi s tim.

U odgovoru se precizira da žrtve mogu podnijeti kaznene prijave Ministarstvu unutarnjih poslova ili Posebnom odjelu za borbu protiv visokotehnološkog kriminala Višeg javnog tužiteljstva u Beogradu. Također se dodaje da sve dokaze, uključujući i digitalne, treba sačuvati i dostaviti uz kaznenu prijavu.

Ured za informacijske tehnologije i elektroničku upravu Vlade Srbije nije odgovorio na pitanja BIRN-a o ovoj temi.

"Ja sam mislila da jesam zaštićena, pa mi se opet nešto ovakvo dogodilo", rekla je Hana.

Prema njezinim riječima, svatko tko misli da mu se situacija poput njezine ne može dogoditi, vara se.

"Evo, ja sam saznala da nikad ne možeš biti dovoljno oprezan, da se svašta može dogoditi dok god koristimo internet. To je jednostavno nešto što postoji i može se svakome dogoditi", navela je.

Hana je zahvalna što je saznala za svoj slučaj.

"Nadam se da će ova priča podići svijest ljudima o tome što se sve može dogoditi i da čak i mi u Bosni, iako smatramo da smo mala, sitna zemlja u ovom svijetu, da nismo zbog toga isključeni iz ovakvih priča i da se takva svijest mora podizati kako kod pojedinaca, tako i kod vlasti, za koje bih voljela da isto učine više po tom pitanju", poručila je.