Sankcionisani sjevernokorejski hakeri ukrali su identitet jedne Sarajke i pomoću njega na internetu zaradili desetine hiljada maraka. Novo istraživanje Detektora donosi sve detalje ove globalne prevare, kroz koju je u posljednjih nekoliko godina ukradeno više od pet miliona maraka.

Među milionima naloga na popularnoj platformi za traženje freelance poslova Guru je i nalog Hane iz BiH.

Uz profilnu sliku, sebe opisuje kao višeg softverskog inženjera sa 50 završenih projekata.

- Možete me kontaktirati u bilo koje vrijeme. Dostupna sam u evropskoj i američkoj vremenskoj zoni - glasi poruka na engleskom jeziku u opisu njenog profila.

Međutim, iza njenog profila stoji ozloglašena grupa sjevernokorejskih hakera, poznata po krađi identiteta i njihovom korištenju kako bi sponzorisali svoje aktivnosti, zbog kojih su dospjeli na svjetske liste sankcija.

Balkanska istraživačka regionalna mreža (BIRN) je do e-mail adresa žrtava došla preko izvještaja Multilateralnog tima za praćenje sankcija, u kojem su analizirane aktivnosti hakera iz Sjeverne Koreje. Analizirajući digitalne tragove adresa iz BiH i Srbije, novinari su uspjeli da dođu do žrtava iz tih zemalja i identifikuju naloge koje su pod njihovim imenom napravili hakeri, a koje su koristili da se zaposle u zapadnim firmama.

Multilateralni tim za praćenje sankcija (MSMT) je međunarodno tijelo koje čine Sjedinjene Američke Države, Južna Koreja, Japan, Velika Britanija, Francuska, Njemačka, Italija, Holandija, Kanada, Australija i Novi Zeland. Zadatak tog tijela je praćenje i dokumentovanje kako Sjeverna Koreja krši i zaobilazi sankcije Ujedinjenih nacija (UN).

E-mail koji je korišten u Haninom slučaju, a koji sadrži dijelove njenog pravog imena i prezimena, omogućio je hakeru da se zaposli u Sjedinjenim Američkim Državama (SAD), navedeno je u izvještaju MSMT-a.

Njen identitet je među 25 koje su, prema izvještaju MSMT-a iz oktobra 2025., sjevernokorejski hakeri koristili da se zaposle uglavnom u američkim firmama i zarade, kako se navodi, otprilike 1,5 miliona dolara u 2022., otprilike milion dolara u 2023. i otprilike 350.000 dolara u prvoj polovini 2024. godine.

- Najviše bih voljela saznati možda zašto baš ja - rekla je Hana, koja je pristala na razgovor pod uslovom anonimnosti i čiji je pravi identitet poznat redakciji. Za svoj slučaj je saznala od novinara Detektora.

- Nikad nisi spreman da čuješ takvu vrstu informacije. Mislim da će mi trebati dosta vremena da mi se slegnu te informacije - bila je jedna od njenih prvih reakcija.

Kako je ukraden identitet?

Detektor je, analizom digitalnih tragova hakera, otkrio da je Hanin e-mail korišten za pravljenje naloga na nekoliko platformi za traženje posla popularnih među freelancerima, od kojih najmanje jedan nosi Hanino ime, prezime i fotografiju, a koje ona nije napravila.

Iza ovih naloga koji nose Hanino ime stoji An Chol Hun – sjevernokorejski haker zaposlen u Korejskoj korporaciji za računarsku tehnologiju Mangyongdae (KMCTC), navedeno je u izvještaju MSMT-a.

U pitanju je IT korporacija sa sjedištem u kineskim gradovima Dandong, na samoj granici sa Sjevernom Korejom i Shenyang, u unutrašnjosti Kine.

Prema izvještaju, matična organizacija te korporacije je Ured za upravljanje 607, koji spada pod Ministarstvo atomske energije i industrije Sjeverne Koreje. Ta institucija se nalazi pod najstrožijim međunarodnim sankcijama, jer direktno upravlja nuklearnim programom i razvojem atomskog oružja u toj zemlji.

Prema saopštenju američkog Ministarstva finansija iz novembra 2025. godine, a koji se poziva i na izvještaj MSMT-a, upravo su IT radnici firme KMCTC koristili kineske državljane kao bankarske posrednike kako bi prikrili porijeklo sredstava ostvarenih putem ilegalnih shema za generisanje prihoda IT radnika Sjeverne Koreje.

IT radnik An Chol Hun je, pored Haninog, upravljao s još tri lažna identiteta – dva iz SAD-a i jednim iz Argentine.

U slučaju Hane, upotrijebljena je njena stara e-mail adresa, koju godinama nije koristila.

- Sad mi ta e-mail adresa nije relevantna svakako ni za što što koristim i nisam je koristila godinama - objasnila je Hana.

Analizom digitalnih tragova, Detektor je utvrdio da se toj e-mail adresi pristupalo i u maju 2026. godine, kao i da je iskorištena za pravljenje naloga na platformama Guru i Upwork, preko kojih freelanceri pronalaze poslove.

Na Guru nalogu, otvorenom pod njenim imenom i uz prateću njenu fotografiju, navodi se niz IT vještina, kao što su poznavanje programskih jezika Python i Javascript, kao i cjenovnik od 30 dolara po satu rada. Kao Hanina lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.

Fotografija koja je korištena slabijeg je kvaliteta.

- Profilna slika koja mi je korištena je jako, jako stara, toliko stara da sam, ono, zaboravila skroz da je imam. Nešto baš preko deset godina staro, tako da mi je i to bilo čudno, što baš taj izbor slike - rekla je.

Hanin profil na platformi Guru obrisan je tokom istraživanja Detektora.

U izradi izvještaja u kojem se navodi Hanin e-mail učestvovale su i privatne kompanije koje su specijalizovane za cyber sigurnost. Među njima i francuska Sekoia, čiji su stručnjaci Amaury Garcon i Maxime Arquilliere pratili načine na koje rade sjevernokorejski hakeri.

- Ono što im (hakerima) je važno jeste da je taj identitet stvaran, čist i da izgleda evropski na papiru, da ne alarmira, jer im je mnogo lakše da se predstavljaju kao neki evropski građanin umjesto kao američki identitet, naprimjer - objasnio je Arquilliere za Detektor.

Dodao je i da je za hakere najbolja meta neko ko je mlad, sa ostvarenim profilom u IT oblasti i identitetom na poslovnoj mreži LinkedIn. Velike su šanse, kako je procijenio, da će takva osoba poslati podatke i kopije svojih ličnih dokumenata željenom poslodavcu.

- I tako će oni sve prikupiti i izgledat će kao mnogo stvarniji identitet u odnosu na onaj koji bi kreirali uz pomoć vještačke inteligencije - pojasnio je Arquilliere.

U velikom broju slučaja, dodao je Arquilliere, hakeri iz Sjeverne Koreje koriste pomagače u ciljanim zemljama, sa zadatkom da prime laptop zapadne kompanije, a koji onda omogućava zaobilaženje provjera, kao što je ona o vremenskoj zoni ili IP adresi, koju nosi svaki računar i koja pruža određene podatke o tome u kojoj državi se on nalazi.

- Dakle, na kraju, sjevernokorejski operater se prijavljuje s bilo kojeg mjesta u svijetu, a kompanija vidi samo legitimnu vezu sa svojim zaposlenikom - objasnio je njegov kolega Garcon, dodajući da na taj način haker može ostati povezan sa zapadnom firmom mjesecima ili čak i godinama.

Hana je, nakon što je saznala za svoju situaciju, uspjela da pristupi svom starom e-mailu.

- Najveći šok mi je bio što nisam pronašla ništa interesantno (…) što mi isto s druge strane govori koliko su oni profesionalni u svom poslu, znaju što rade i vjerojatno, kada su bili razotkriveni, sve je to obrisano - objasnila je.

U izvještaju MSMT-a se objašnjava da su IT radnici KMCTC-a održavali mnogobrojne lažne pseudonime i identitete na platformama za traženje posla i drugim mrežama, te da su s njima često mogli biti zaposleni na više od jednog posla istovremeno.

Gledajući u “svoje” naloge na internetu, Hana osjeća olakšanje.

- Mislim da sam mogla mnogo gore proći - ocijenila je.

Dodala je i da misli da je situacija mogla eskalirati na mnogo gore načine.

- Mogla sam imati legalnih problema s tim, mogla sam također imati, ne znam, netko bi mogao uzeti novac (…) ili doći do nekog kontakta, možda nekog i mog bližnjeg (…) I kada sam sve to uzela u obzir, onda sam shvatila – okej, nije, nije toliko grozno - ispričala je.

Opširnije čitajte OVDJE.

(Detektor.ba/DEPO PORTAL/au)