Među milionima naloga na popularnoj platformi za freelance poslove Guru nalazio se i profil sa fotografijom mlade žene sa crvenim karminom i zelenom majicom.
Na nalogu je pisalo da je ona viši softverski inženjer iz Bosne i Hercegovine sa 50 završenih projekata.
„Možete me kontaktirati u bilo kom trenutku“, glasi poruka na engleskom jeziku u opisu njenog profila. „Dostupna sam i u evropskim i u američkim vremenskim zonama.“
Iako je na stranici stajalo njeno ime, a njena stara imejl adresa navedena kao kontakt, žena sa fotografije u stvarnosti nije imala nikakve veze sa ovim nalogom.
Njen stari imejl je jedan od 25 mejlova izlistanih u izveštaju Multilateralnog tima za praćenje sankcija (MSMT), tela zaduženog za praćenje pokušaja Severne Koreje da zaobiđe sankcije Ujedinjenih nacija. Među zloupotrebljenim imenima bilo je i ime muškarca iz Srbije.
Njihove profile na Guru platformi napravili su i koristili severnokorejski hakeri kako bi dobijali poslove u američkim i evropskim kompanijama, a „barem deo“ tih prihoda korišćen je za finansiranje severnokorejskog „razvoja i proizvodnje naoružanja, domaćih infrastrukturnih projekata i nabavke robe široke potrošnje“, navodi se u izveštaju MSMT-a.
Samo tokom 2024. godine, Severna Koreja je „verovatno zaradila između 350 i 800 miliona dolara od svojih IT radnika širom sveta“.
Profil žene iz Bosne više nije dostupan na platformi. Za njega je saznala tek kada ju je kontaktirao BIRN.
„Najviše bih volela saznati, možda, zašto baš ja“, rekla je ona u razgovoru sa novinarima tražeći da se ne otkriva njeno pravo ime i prezime.
Poslovi uz pomoć ukradenih identiteta
BIRN je otkrio naloge na nekoliko platformi za traženje poslova koji su otvoreni korišćenjem starog mejla žene iz Bosne, za koji kaže da nije koristila godinama. Analizirajući digitalne tragove, BIRN je utvrdio da se toj e-mail adresi pristupalo čak i prošlog meseca.
Na Guru nalogu otvorenom na njeno ime, navodi se niz IT veština, kao što su poznavanje programskih jezika Python i Javascript, kao i cenovnik od 30 dolara po satu rada. Kao njena lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.
„Profilna slika koja mi je korištena je jako, jako stara, toliko stara da sam, ono, zaboravila skroz da je imam“, kaže ona za BIRN.
Hakeri su koristili i identitet muškarca iz Srbije po imenu Marko Zrinjanin. I u njegovom slučaju, imejl nalog koji su koristili hakeri bio je aktivan prošlog meseca.
Novinari BIRN-a su potvrdili da je Marko Zrinjanin stvarna osoba i stupili u kontakt sa njim.
On je odbio razgovor uživo, a u pisanom odgovoru je naveo da ne poseduje email adresu koja se navodi u izveštaju, te da su fotografije na lažnim profilima verovatno preuzete sa nekog od IT foruma ili sajta na kojem je bio registrovan, poput HashNode-a ili Spiceworks-a.
„U prvom momentu sam bio zabrinut, ali kada sam shvatio da su moje ime i podaci korišćeni samo da se zaobiđu sankcije zapadnih ugnjetavača koji propagiraju kvazi demokratiju i lažne slobode, osećao same se dosta bolje”, rekao je Zrinjanin za BIRN.
Na nalogu na portalu Guru stoji da je Zrinjanin na toj platformi od 2018. godine i da je od tada zaradio 43 hiljade dolara, radeći za ukupno devet firmi. Kao mesto boravka pogrešno mu je naveden Luisvil u Sjedinjenim Američkim Državama.
„Slobodno me kontaktirajte kako bismo razgovarali o detaljima vašeg projekta i o tome kako mogu da vam pomognem da ostvarite svoje ciljeve“, navodi se na profilu. „Veoma sam fleksibilan kada je reč o radnom vremenu i mogu da se uskladim sa vašim rasporedom više od šest sati dnevno.“
Slično tome, na platformi GoLance profil sa Zrinjaninovim imenom i fotografijom navodi da je aktivan od 2025. godine, da naplaćuje 35 dolara po satu i da je do sada ostvario 200 radnih sati.
Hakeri iz severnokorejske kompanije pod sankcijama
U izveštaju MSMT-a kao hakeri koji stoje iza lažnih naloga povezanih sa Bosnom i Srbijom identifikovani su An Čol Hun i Ri Kvang Hun.
Kako se navodi, obojica su zaposleni u kompaniji Korea Mangyongdae Computer Technology Corporation (KMCTC), IT korporaciji sa sedištem u kineskim gradovima Šenjang i Dandong, na granici sa Severnom Korejom.
Matična organizacija te korporacije je Kancelarija za upravljanje 607, navodi MSMT, koja deluje u okviru severnokorejskog Ministarstva industrije atomske energije.
To ministarstvo upravlja severnokorejskim nuklearnim programom i pod strogim je međunarodnim sankcijama.
Nakon objavljivanja izveštaja MSMT-a, američko Ministarstvo finansija uvelo je sankcije kompaniji KMCTC, navodeći da IT radnici KMCTC-a koriste kineske državljane kao posrednike u bankarskim transakcijama kako bi prikrili poreklo novca koji su nelegalno zaradili.
Za An Čol Huna, MSMT piše da je, pored identiteta žene iz Bosne, koristio još tri lažna identiteta – dva iz Sjedinjenih Američkih Država i jednim iz Argentine.
Pošto je saznala za krađu identiteta, žena iz Bosne je uspela da pristupi svom starom imejlu. Kaže da joj je najveći šok što zapravo nije pronašla „ništa interesantno“.
„Znaju šta rade i, verovatno, kada su bili su bili razotkriveni, sve je obrisano“, rekla je.
„ Mislim da sam mogla mnogo gore proći. Mogla sam imati legalnih problema s tim, mogla sam također imati, ne znam, netko bi mogao uzeti novac…ili doći do nekog kontakta, možda nekog i mog bližnjeg…“
Kako hakeri biraju žrtve
Maksim Arkilijer, analitičar za obaveštajne podatke o sajber pretnjama u francuskoj kompaniji Sekoia, koja je učestvovala u izradi izveštaja MSMT-a, objašnjava da su za hakere najbolje mete mladi profesionalci sa izgrađenim profilom u IT sektoru i prisustvom na poslovnoj mreži LinkedIn.
„Prikupljaju sve što mogu, i to izgleda kao mnogo autentičniji identitet od onoga koji bi mogli da naprave uz pomoć veštačke inteligencije. Njima [hakerima] je važno da je identitet stvaran, čist i da na papiru deluje evropski, kako ne bi izazivao sumnju“, rekao je Arkilijer za BIRN.
On dodaje i da severnokorejski hakeri u ciljanim zemljama često imaju pomagače, čiji je zadatak da umesto njih preuzmu laptopove zapadnih kompanija u kojima hakeri rade pod lažnim imenima.
Ti kompjuteri hakerima omogućavaju da zaobiđu provere, kao što su one o vremenskoj zoni ili IP adresi, koju nosi svaki računar i koja pruža određene podatke o tome u kojoj državi se on nalazi.
Amori Garson, inženjer za sajber bezbednost u firmi Sekoia, kaže da tako hakeri mogu da nastave da rade za zapadne kompanije mesecima, pa čak i godinama.
„Na kraju, severnokorejski operativac se prijavljuje sa bilo kog mesta u svetu, a kompanija vidi samo legitimnu vezu sa svojim zaposlenim“, objašnjava Garson.
U analizi koju je objavila Google Threat Intelligence Group 2025. godine piše da se ovakve prevare, koje su tradicionalno bile usmerene na američko tržište rada, šire i na Evropu.
Isplate se primaju preko kriptovaluta, TransferWise-a i Payoneer-a, što ukazuje na pokušaj sakrivanja porekla i krajnjeg odredišta novca.
Bojan Perkov iz SHARE Fondacije kaže da su se severnokorejski hakeri ranije infiltrirali u organizacije od interesa tako što su pronalazili saradnike koji bi se u njihovo ime prijavljivali za poslove koje bi hakeri potom obavljali na daljinu, ili tako što su se sami prijavljivali i manipulisali procesom zapošljavanja.
Na taj način, rekao je, „ostvaruju pristup poverljivim informacijama, korporativnim uređajima i mrežama“.
„Srbija je poznata po takozvanom autsorsingu IT poslova, naročito kada je reč o kompanijama iz Zapadne Evrope i SAD. Pretpostavka je da je to jedan od razloga zašto su se opredelili da kradu identitete baš srpskih državljana“, kaže Perkov za BIRN.
Na meti države sa niskim razumevanjem pretnji
Džonatan Fric, bivši zamenik pomoćnika američkog državnog sekretara za pitanja istočne Azije i Pacifika, koji je predstavio izveštaj MSMT-a u Ujedinjenim nacijama u Njujorku početkom ove godine, rekao je da su severnokorejski hakeri vrlo prilagodljivi.
„U suštini, oni traže mesta gde, znate, ljudi nisu svesni opasnosti od prevara u kojima su oni zaista dobri“, kaže Fric, koji je danas viši saradnik za kinesku politiku u Centru za američki napredak, u razgovoru za BIRN.
Kako je naveo, hakeri koriste kineske banke i, između ostalog, isplate putem kriptovaluta, koje je teže pratiti. Kada neka zemlja unapredi svoju odbranu, hakeri iz Severne Koreje se prebacuju na neko drugo mesto koje je ranjivo.
Saša Mrdović, profesor računarskih mreža na Elektrotehničkom fakultetu Univerziteta u Sarajevu, kaže da BiH nema dovoljno ljudskih i institucionalnih kapaciteta, kao ni zakonodavni okvir, koji bi omogućili adekvatnu zaštitu.
„Nažalost, naši političari imaju puno stvari koje smatraju da su važnije od ovoga, tako da mislim da su svesni, ali na nekoj listi onoga što moraju da urade vrlo retko“, rekao je Mrdović za BIRN, dodajući da bi političari trebalo da shvate da ni oni nisu imuni na ovakve pretnje.
„To se zaista može svakome od nas desiti. Što je čovek izloženiji, a naši političari, kao i svi ostali, jesu izloženi, mogu doći u takvu situaciju.“
Žena iz Bosne se složila.
„Ja sam mislila da jesam zaštićena, pa mi se opet nešto ovakvo desilo. Evo, ja sam saznala da ne možeš nikad biti dovoljno oprezan, da se svašta može desiti dok god koristimo internet. To je jednostavno nešto što postoji i može se svakome desiti.“
Ipak, zahvalna je što je saznala da joj je identitet ukraden.
„Nadam se da će ova priča podići svest ljudima o tome šta se sve može desiti i da čak i mi u Bosni, iako smatramo da smo mi mala, sitna zemlja u ovom svetu, ono da, da nismo mi radi toga isključeni iz ovakvih priča i da se takva svest mora podizati kako za individualce, tako i za vlasti za koje bih volela da urade više po tom pitanju”, zaključuje ona.
Školjka kompanije
Prema izveštaju MSMT-a, severnokorejski hakeri su od 2024. godine osnovali i najmanje dve „školjka“ kompanije registrovane u Sjedinjenim Američkim Državama. Reč je o firmama koje postoje samo na papiru, bez imovine i zaposlenih.
Jedna od njih je Guanghe Technology Development LLC, za koju se u izveštaju navodi da su je severnokorejski IT radnici stacionirani u Kini koristili kako bi obezbedili ugovore sa neimenovanom srpskom kompanijom i primali uplate preko američke banke.
Prema javno dostupnim registrima, Guanghe Technology Development LLC registrovana je na Floridi, a kao ovlašćeni zastupnik naveden je Čengze Li.
Među korporativnim dokumentima kompanije nalazi se i dokument iz marta 2026. godine u kojem Kancelarija za kontrolu strane imovine Ministarstva finansija SAD (OFAC) obaveštava Sekretarijat države Floride da je Guanghe Technology Development LLC registrovao severnokorejski IT radnik i da su sve transakcije i poslovne aktivnosti koje je kompanija obavljala bile u korist vlade Severne Koreje.
U zvaničnim registrima nema podataka koji otkrivaju o kojoj kompaniji iz Srbije su poslovali.
Posebno tužilaštvo za visokotehnološki kriminal sa sedištem u Beogradu navelo je u pisanom odgovoru BIRN-u da nemaju saznanja o aktivnostima severnokorejskih IT radnika povezanim sa Srbijom i da im se nijedan građanin nije obratio tim povodom.
U odgovoru navode i da žrtve mogu podneti krivične prijave Ministarstvu unutrašnjih poslova ili ovom tužilaštvu i dodaj da sve dokaze, uključujući i digitalne, treba sačuvati i dostaviti uz krivičnu prijavu.
I Bosna i Srbija primenjuju sankcije Ujedinjenih nacija prema Severnoj Koreji, ali se Srbija – za razliku od BiH – nije uskladila sa posebnim sankcijama koje je Evropska unija uvela Pjongjangu, čiji su saveznici države sa kojima Beograd održava bliske odnose: Rusija i Kina. Severna Koreja, sa svoje strane, nije priznala nezavisnost Kosova.
Kancelarija za informacione tehnologije i elektronsku upravu Vlade Srbije nije odgovorila na pitanja BIRN-a o delovanju severnokorejskih hakera.
Napomena: Za kreiranje audio verzije ovog teksta korišćena je veštačka inteligencija. S obzirom na to da je u pitanju testna verzija, ima pogrešnih akcenata u izgovoru na čijem unapređenju radimo. Ovaj audio zapis je namenjen isključivo za preslušavanje putem birn.rs, u lične, nekomercijalne svrhe posetioca veb sajta. Bilo kakvo korišćenje, u smislu preuzimanja, umnožavanja, beleženja, reprodukcije ili deljenja ovog audio zapisa je strogo zabranjeno i predstavlja povredu prava intelektualne svojine i prava ličnosti.
