Mes miliona llogarive në platformën e njohur për punë të pavarura (freelance) Guru, ishte edhe një profil me fotografinë e një gruaje të re tërheqëse, me buzëkuq të kuq dhe një bluzë të gjelbër.
Llogaria e përshkruante atë si një inxhiniere softuerike nga Bosnja dhe Hercegovina, me 50 projekte të përfunduara në portofolin e saj.
“Mund të më kontaktoni në çdo kohë”, shkruhej në profil në anglisht. “Jam e disponueshme si në zonat kohore evropiane ashtu edhe në ato amerikane.”
Personi në fotografi nuk kishte asnjë lidhje me atë llogari. Megjithatë, në krye të profilit figuronin emri i saj dhe një adresë e vjetër e postës elektronike që i përkiste asaj.
Në vitin 2025, kjo adresë emaili ishte ndër 25 adresat e publikuara në një raport të Ekipit Shumëpalësh për Monitorimin e Sanksioneve (MSMT), një mekanizëm i ngarkuar me monitorimin e përpjekjeve të Koresë së Veriut për të shmangur sanksionet e Kombeve të Bashkuara. Një identitet tjetër i përdorur ishte ai i një burri nga Serbia.
Profili në Guru, rezultoi më pas, ishte krijuar nga një grup hakerësh koreano-veriorë, të identifikuar nga monitoruesit e sanksioneve si përdorues të identiteteve të vjedhura për të siguruar punë freelance me kompani amerikane dhe evropiane, me qëllim gjenerimin e të ardhurave për Korenë e Veriut.
Sipas raportit të MSMT-së, “të paktën një pjesë” e këtyre të ardhurave është përdorur për të financuar zhvillimin dhe prodhimin e armëve në Korenë e Veriut, projekte të infrastrukturës së brendshme dhe blerjen e mallrave të konsumit. Vetëm gjatë vitit 2024, Koreja e Veriut “ka të ngjarë të ketë fituar rreth 350–800 milionë dollarë nga punonjësit e saj të teknologjisë së informacionit në mbarë botën”.
Profili nuk është më i disponueshëm në Guru. Personi, identiteti i të cilit u vodh për krijimin e tij, ende po përpiqet të kuptojë se çfarë ka ndodhur.
Ajo e mësoi këtë vetëm pasi u kontaktua nga BIRN. Duke folur në kushte anonimiteti, ajo tha:
“Ajo që do të doja më shumë të zbuloja është ndoshta: pse unë?”
Gjetja e punëve duke përdorur identitete të vjedhura
Duke analizuar gjurmët digjitale të hakerëve, BIRN zbuloi se adresa e emailit që i përkiste gruas nga Bosnja ishte përdorur – pa dijeninë ose pëlqimin e saj – për të krijuar llogari në disa platforma kërkimi pune të njohura mes punonjësve freelance, ku të paktën njëra prej tyre mbante emrin, mbiemrin dhe fotografinë e saj.
Gruaja, e cila është me origjinë nga Bosnja, por jeton në Vjenë, tha se nuk e kishte përdorur adresën e emailit në fjalë prej vitesh. Megjithatë, kjo adresë ishte aksesuar për herë të fundit vetëm muajin e kaluar.
Profili në Guru listonte një gamë të gjerë aftësish në teknologjinë e informacionit, përfshirë njohuri të Python dhe JavaScript, si dhe një tarifë prej 30 dollarësh për orë pune.
Në profil figuronte Sarajeva si vendndodhja e saj, ndërkohë që ajo, në fakt, jeton në Austri.
“Fotografia e profilit që është përdorur është shumë, shumë e vjetër – aq e vjetër sa kisha harruar plotësisht që e kisha pasur ndonjëherë,” tha ajo për BIRN.
Hakerët përdorën gjithashtu identitetin e një burri nga Serbia, të quajtur Marko Zrinjanin. Në këtë rast, llogaria e emailit ishte ende aktive muajin e kaluar, megjithëse Zrinjanin tha për BIRN me shkrim se ajo adresë nuk i përkiste atij. Ai tha se fotografitë e tij të përdorura në profilet e rreme me shumë gjasa ishin marrë nga ndonjë forum ose faqe interneti për profesionistët e IT-së ku kishte qenë i regjistruar, si HashNode ose Spiceworks.
“Në fillim u shqetësova,” tha Zrinjanin për BIRN, “por kur kuptova se emri dhe të dhënat e mia personale ishin përdorur vetëm për të anashkaluar sanksionet e vendosura nga shtypësit perëndimorë që promovojnë kuazi-demokraci dhe liri të rreme, u ndjeva shumë më mirë.”
Në Guru, Zrinjanin figuron si përdorues aktiv që nga viti 2018. Gjatë kësaj periudhe ai rezulton të ketë fituar 43,000 dollarë duke punuar për gjithsej nëntë kompani. Vendndodhja e tij në profil shënohet gabimisht si Louisville në Shtetet e Bashkuara.
“Mund të më kontaktoni pa problem për të diskutuar detajet e projektit tuaj dhe mënyrën se si mund t’ju ndihmoj të arrini qëllimet tuaja,” thuhet në profil. “Jam shumë fleksibël sa i përket orarit të punës dhe mund ta përshtas orarin tim me tuajin për më shumë se gjashtë orë në ditë.”
Në mënyrë të ngjashme, në platformën GoLance, një profil që mban emrin dhe fotografinë e Zrinjaninit deklaron se ai është aktiv që nga viti 2025, tarifon 35 dollarë në orë dhe ka realizuar rreth 200 orë pune.
Hakerë nga një kompani koreano-veriore nën sanksione
Në raportin e MSMT-së, hakerët e dyshuar që qëndrojnë pas llogarive të rreme të lidhura me Bosnjën dhe Serbinë identifikohen si An Chol Hun dhe Ri Kwang Hun.
Sipas raportit, të dy janë të punësuar në Korea Mangyongdae Computer Technology Corporation (KMCTC), një korporatë e teknologjisë së informacionit me seli në qytetet kineze Shenyang dhe Dandong. Ky i fundit ndodhet pranë kufirit me Korenë e Veriut.
Sipas MSMT-së, organizata mëmë e korporatës është Management Office 607, e cila vepron nën varësinë e Ministrisë së Industrisë së Energjisë Atomike të Koresë së Veriut.
Kjo ministri, e cila menaxhon programin bërthamor të Koresë së Veriut, i nënshtrohet sanksioneve të rrepta ndërkombëtare.
Pas publikimit të raportit të MSMT-së, Departamenti Amerikan i Thesarit vendosi sanksione ndaj KMCTC-së. Thesari amerikan akuzoi punonjësit e IT-së të kësaj kompanie se përdornin shtetas kinezë si ndërmjetës bankarë për të fshehur origjinën e fondeve të krijuara përmes skemave të paligjshme të gjenerimit të të ardhurave nga punonjësit e IT-së.
Një prej këtyre punonjësve është An Chol Hun, të cilin MSMT e akuzon se menaxhonte edhe tre identitete të tjera të rreme, përveç atij që i atribuohej gruas me origjinë nga Bosnja – dy identitete nga Shtetet e Bashkuara dhe një tjetër nga Argjentina.
Duke iu rikthyer llogarisë së saj të vjetër të emailit, gruaja nga Bosnja tha se u ndje e lehtësuar kur nuk gjeti “asgjë interesante”.
“Ata e dinë se çfarë po bëjnë dhe, me shumë gjasa, sapo u zbuluan, gjithçka u fshi,” tha ajo. “Mendoj se gjërat mund të kishin qenë shumë më keq për mua. Mund të kisha pasur probleme ligjore për shkak të kësaj… dikush mund të kishte marrë para… të kishte siguruar të dhënat e kontaktit të personave të tjerë, ndoshta të dikujt të afërt me mua…”
Si i zgjedhin viktimat e tyre
Maxime Arquilliere, analist i inteligjencës së kërcënimeve kibernetike në kompaninë franceze Sekoia, e cila kontribuoi në raportin e MSMT-së, tha se hakerë të tillë zakonisht synojnë profesionistë të rinj me një profil të konsoliduar në sektorin e teknologjisë së informacionit dhe me prani në rrjetin profesional LinkedIn.
“Ata mbledhin gjithçka dhe krijojnë një identitet që duket shumë më autentik sesa ai që mund të krijohej me inteligjencë artificiale,” tha Arquilliere për BIRN. “Ajo që ka rëndësi për hakerët është që identiteti të jetë real, i pastër dhe në letër të duket evropian, në mënyrë që të mos ngjallë dyshime.”
Sipas tij, hakerët koreano-veriorë shpesh përdorin ndërmjetës në vendet që synojnë, për të siguruar laptopë të përdorur nga kompani perëndimore dhe për të anashkaluar kontrollet që lidhen me zonat kohore ose adresat IP.
Amaury Garcon, inxhinier i sigurisë kibernetike dhe analist teknik i inteligjencës së kërcënimeve në Sekoia, tha se hakerët mund të mbeten të lidhur me kompani të tilla për muaj apo edhe vite përmes këtyre laptopëve.
“Në fund, operatori koreano-verior lidhet nga kudo në botë, ndërsa kompania sheh vetëm një lidhje legjitime me punonjësin e saj,” tha Garcon.
Një analizë e vitit 2025 nga Google Threat Intelligence Group paralajmëroi se këto mashtrime, të cilat tradicionalisht kishin në shënjestër tregun amerikan të punës, po zgjeroheshin edhe në Evropë.
Pagesat zakonisht merren përmes kriptomonedhave, TransferWise dhe Payoneer, gjë që konsiderohet një tjetër sinjal alarmi.
Bojan Perkov, koordinator i politikave digjitale në organizatën për të drejtat dhe sigurinë digjitale SHARE Foundation me bazë në Beograd, tha se në të kaluarën hakerët koreano-veriorë kanë depërtuar në kompani private në Perëndim duke gjetur bashkëpunëtorë që aplikonin për vende pune në emrin e tyre, ndërsa punën e kryenin vetë hakerët nga distanca, ose duke aplikuar drejtpërdrejt dhe manipuluar procesin e rekrutimit.
Përmes këtyre vendeve të punës, tha ai, “ata fitojnë qasje në informacione të ndjeshme, pajisje të kompanive dhe rrjete të brendshme.”
“Serbia njihet gjerësisht për ofrimin e shërbimeve të jashtme në fushën e teknologjisë së informacionit, veçanërisht për kompani nga Evropa Perëndimore dhe Shtetet e Bashkuara,” tha Perkov për BIRN. “Mendohet se kjo është një nga arsyet pse ata zgjodhën të vjedhin identitetet e qytetarëve serbë.”
Shfrytëzim i mungesës së ndërgjegjësimit
Jonathan Fritz, ish-zv/ndihmës Sekretar i Shtetit i SHBA-së për Çështjet e Azisë Lindore dhe Paqësorit, i cili prezantoi raportin e MSMT-së në Kombet e Bashkuara në Nju-Jork, tha se hakerët koreano-veriorë janë jashtëzakonisht të aftë për t’u përshtatur.
“Në thelb, ata kërkojnë vende ku njerëzit nuk janë të vetëdijshëm për rreziqet e mashtrimeve që ata dinë t’i kryejnë shumë mirë,” tha Fritz për BIRN. Aktualisht, ai është studiues i lartë për politikën ndaj Kinës në Center for American Progress.
Sipas Fritz, hakerët përdorin banka kineze dhe, mes metodave të tjera, pagesa me kriptomonedha, të cilat janë më të vështira për t’u gjurmuar. Kur një vend forcon mekanizmat e mbrojtjes, ata zhvendosen në objektiva të rinj.
Në Bosnjë, ndërkohë, Sasa Mrdovic, profesor i rrjeteve kompjuterike në Fakultetin e Inxhinierisë Elektrike të Universitetit të Sarajevës, tha se shteti nuk ka kapacitetet e nevojshme njerëzore dhe institucionale, për të mos përmendur kuadrin ligjor, për të ofruar mbrojtjen e duhur.
“Fatkeqësisht, politikanët tanë kanë shumë çështje që i konsiderojnë më të rëndësishme se kjo. Mendoj se janë të vetëdijshëm për problemin, por shumë rrallë ai renditet ndër prioritetet që ata ndiejnë se duhet t’i trajtojnë,” tha Mrdovic për BIRN, duke shtuar se edhe vetë politikanët nuk janë të imunizuar ndaj këtyre rreziqeve.
“Kjo mund t’i ndodhë secilit prej nesh,” tha ai. “Sa më i ekspozuar të jetë një person – dhe politikanët, si gjithë të tjerët, janë të ekspozuar – aq më e madhe është mundësia që ai të përballet me një situatë të tillë.”
Edhe gruaja nga Bosnja ndau të njëjtin mendim: “Mendoja se isha e mbrojtur, por megjithatë diçka e tillë më ndodhi. Kam kuptuar se nuk mund të jesh kurrë mjaftueshëm i kujdesshëm dhe se gjithçka mund të ndodhë për sa kohë që përdorim internetin.”
Kompani guaskë
Sipas raportit të MSMT-së, duke filluar nga viti 2024, hakerët koreano-veriorë krijuan të paktën dy kompani guaskë të regjistruara në Shtetet e Bashkuara. Këto kompani ekzistojnë vetëm në letër, pa asete dhe pa punonjës.
Njëra prej tyre është Guanghe Technology Development LLC, e cila, sipas raportit, u përdor nga punonjës të teknologjisë së informacionit nga Koreja e Veriut me bazë në Kinë për të siguruar kontrata biznesi me një kompani serbe, emri i së cilës nuk bëhet publik, si dhe për të marrë pagesa përmes një banke amerikane.
Sipas regjistrave publikë, Guanghe Technology Development LLC është e regjistruar në Florida, ndërsa Chengze Li figuron si përfaqësuesi i autorizuar i saj.
Mes dokumenteve zyrtare të kompanisë gjendet edhe një dokument i marsit 2026, në të cilin Zyra për Kontrollin e Aseteve të Huaja (OFAC) e SHBA-së informon Departamentin e Shtetit të Floridës se Guanghe Technology Development LLC ishte regjistruar nga një punonjës koreano-verior i sektorit IT dhe se të gjitha transaksionet dhe aktivitetet tregtare të saj kryheshin në dobi të qeverisë së Koresë së Veriut.
Në regjistrat zyrtarë nuk ka informacion që identifikon kompaninë serbe me të cilën kjo kompani ka zhvilluar aktivitet biznesi.
Prokuroria Speciale për Krimin e Teknologjisë së Lartë në Beograd deklaroi në një përgjigje me shkrim për BIRN se nuk kishte dijeni për aktivitete të punonjësve koreano-veriorë të IT-së që lidhen me Serbinë dhe se asnjë qytetar nuk ishte drejtuar pranë këtij institucioni për çështje të tilla.
Si Bosnja ashtu edhe Serbia respektojnë sanksionet e Kombeve të Bashkuara ndaj Koresë së Veriut. Megjithatë, Serbia – duke mos dashur të acarojë aleatët e saj të mëdhenj, Rusinë dhe Kinën – nuk i është bashkuar sanksioneve specifike të Bashkimit Evropian kundër Phenianit. Nga ana tjetër, Koreja e Veriut nuk e njeh ish-krahinën jugore të Serbisë, Kosovën, si shtet të pavarur.
