Add 2025 threat scenarios based on real-world incidents

src/locales/en.json

@@ -132,6 +132,69 @@
       "inject12Content": "A staff member finds an email from months ago in which a researcher details the misconfiguration (exposed access keys).",
       "inject18Title": "Inject 18: Media Article",
       "inject18Content": "A media outlet has released an article outlining the incident and critiquing the organisation's data collection and privacy practices. The article cites an anonymous source within the company."
+    },
+    "deepfakeCfo": {
+      "title": "Scenario: The \"Deepfake\" CFO",
+      "difficulty": "Easy",
+      "description": "A Finance employee receives a video call from the CFO requesting an urgent, secret transfer. The audio and video are AI-generated (Deepfake). Based on the Arup case (Hong Kong, Feb 2024).",
+      "briefingTitle": "Briefing & Setup",
+      "briefingPublic": "Welcome to the Tabletop Exercise.\n\nScenario: AI-Driven Business Email Compromise (Deepfake)\n\nRules:\n1. Discuss actions as a team.\n2. Facilitator sets Difficulty (Routine 5+, Challenging 10+, Hard 15+).\n3. Roll D20 to succeed.\n\nStatus: Normal operations.",
+      "briefingFacilitator": "Prepare the team for an AI-driven social engineering scenario. The CFO is at a conference (public on LinkedIn). Real-Life Reference: The Arup Case (Hong Kong, Feb 2024) - A finance worker was tricked into paying $25 million after a video call with deepfake CFO and colleagues.",
+      "turn1Title": "Turn 1: Pre-Incident",
+      "turn1Public": "A junior finance administrator reports receiving a Teams/Zoom call from the CFO. The CFO claimed to be at a conference with bad signal and requested an urgent payment to a new vendor for a \"stealth acquisition.\"",
+      "turn1Facilitator": "BACKGROUND: The real CFO is indeed at a conference (public knowledge on LinkedIn), but they did not make the call.\n\nThe attacker is using real-time face-swapping software and voice cloning.",
+      "turn2Title": "Turn 2: Response",
+      "turn2Public": "The finance admin is stressed. They received a follow-up email (spoofed header) with the invoice attached.\n\nAnother employee in HR mentions seeing the CFO \"online\" at 3 AM last night requesting employee data, which seemed odd.",
+      "turn2Facilitator": "BACKGROUND: The email contains a link to a fake login portal (credential harvester).\n\nThe attacker is trying to pivot from financial fraud to data theft if the payment doesn't go through.",
+      "turn3Title": "Turn 3: Recovery",
+      "turn3Public": "The real CFO responds to a text message confirming they never made the call.\n\nThe finance admin asks if they should click the link in the email to \"cancel\" the invoice.",
+      "turn3Facilitator": "BACKGROUND: If the admin clicks the link, their credentials are stolen immediately.\n\nThe video call was pre-recorded loops mixed with AI lip-syncing.",
+      "inject5Title": "Inject 5: Stakeholder Calls (SCAMMER)",
+      "inject5Content": "A \"lawyer\" calls demanding the payment be expedited or the \"deal will fall through.\" (PRIVATE NOTE: This is the SCAMMER calling)",
+      "inject9Title": "Inject 9: Internet Connectivity Lost",
+      "inject9Content": "Internet connectivity is lost for (D20) minutes. The attacker is attempting to disrupt communication while waiting for the transfer."
+    },
+    "poisonedPackage": {
+      "title": "Scenario: The Poisoned Package",
+      "difficulty": "Medium",
+      "description": "A developer accidentally includes a malicious open-source library. It has been dormant for weeks but is now beaconing to a C2 server. Based on XZ Utils backdoor (CVE-2024-3094) and Polyfill.io (2024).",
+      "briefingTitle": "Briefing & Setup",
+      "briefingPublic": "Welcome to the Tabletop Exercise.\n\nScenario: Software Supply Chain Attack (NPM/PyPI Typosquatting)\n\nRules:\n1. Discuss actions as a team.\n2. Facilitator sets Difficulty (Routine 5+, Challenging 10+, Hard 15+).\n3. Roll D20 to succeed.\n\nStatus: Normal operations.",
+      "briefingFacilitator": "Prepare the team for a supply chain attack scenario. Real-Life References: XZ Utils Backdoor (CVE-2024-3094, Mar 2024) - malicious maintainer inserted backdoor; Polyfill.io (Jun 2024) - domain bought by attacker, injected malware into 100k+ websites.",
+      "turn1Title": "Turn 1: Pre-Incident",
+      "turn1Public": "The Security Operations Center (SOC) or a firewall automated alert flags \"suspicious outbound traffic\" from a production server to an unknown IP address in Eastern Europe.",
+      "turn1Facilitator": "BACKGROUND: A developer installed a package named react-dom-animations (fake) instead of the legitimate library 2 weeks ago.\n\nThe malware was on a timer (delayed execution) to evade sandbox testing.",
+      "turn2Title": "Turn 2: Response",
+      "turn2Public": "The traffic is confirmed to be HTTPS C2 beacons.\n\nThe server in question hosts the customer-facing web portal.\n\nUsers are reporting the website is loading slowly or triggering their own antivirus.",
+      "turn2Facilitator": "BACKGROUND: The malicious package injects a crypto-miner (distraction) AND a script that skims credit card inputs (the real threat).\n\nThe skimming script is obfuscated inside a standard looking CSS file.",
+      "turn3Title": "Turn 3: Recovery",
+      "turn3Public": "The server is isolated.\n\nDevOps wants to simply \"redeploy\" the last build, not realizing the malicious package is hardcoded in the package.json file of the repository.",
+      "turn3Facilitator": "BACKGROUND: If they redeploy without scrubbing the code, the infection returns immediately.\n\nThe attacker has already harvested 500+ credit card numbers.",
+      "inject20Title": "Inject 20: External Repository Compromised",
+      "inject20Content": "News breaks that a popular open-source maintainer's account was hacked. An external repository was recently compromised.",
+      "inject17Title": "Inject 17: Customer Fraud Alerts",
+      "inject17Content": "Customer helpdesk starts to receive multiple calls from customers asking about the security of their information. Fraud alerts are appearing on their cards."
+    },
+    "hypervisorRansomware": {
+      "title": "Scenario: Hypervisor Ransomware",
+      "difficulty": "Hard",
+      "description": "Attackers exploit a vulnerability in the virtualization layer (ESXi/Hyper-V), encrypting virtual disks of multiple servers at once. They have also exfiltrated data. Based on ESXiArgs and Akira ransomware campaigns (2024).",
+      "briefingTitle": "Briefing & Setup",
+      "briefingPublic": "Welcome to the Tabletop Exercise.\n\nScenario: Ransomware targeting Virtualization & Double Extortion\n\nRules:\n1. Discuss actions as a team.\n2. Facilitator sets Difficulty (Routine 5+, Challenging 10+, Hard 15+).\n3. Roll D20 to succeed.\n\nStatus: Normal operations.",
+      "briefingFacilitator": "Prepare the team for a hypervisor ransomware scenario. Real-Life Reference: ESXiArgs Campaign & Akira Ransomware (2024) - targeted unpatched VMware ESXi servers, exfiltrated data before encryption (Double Extortion).",
+      "turn1Title": "Turn 1: Pre-Incident",
+      "turn1Public": "IT Admins report they cannot log into the Virtual Machine management console.\n\nSimultaneously, the \"File Server\" and \"Database\" VMs go offline. A readme.txt file is found on the management datastore.",
+      "turn1Facilitator": "BACKGROUND: The attackers used a zero-day or unpatched vulnerability in the hypervisor (not the Windows VMs themselves).\n\nThey have encrypted the .vmdk (virtual disk) files directly.",
+      "turn2Title": "Turn 2: Response",
+      "turn2Public": "A ransom note is emailed to the CEO and IT Director. It links to a Tor site showing screenshots of your customer database.\n\nThey demand $2M in Bitcoin within 48 hours or they will publish the data.",
+      "turn2Facilitator": "BACKGROUND: The attackers have been in the network for 14 days (\"dwelling\").\n\nThey have exfiltrated the data before encrypting. This is a \"Double Extortion\" attack.",
+      "turn3Title": "Turn 3: Recovery",
+      "turn3Public": "Media outlets are calling asking about a \"data leak\" mentioned on a cybercrime forum.\n\nYou have located an offline \"cold\" backup from 3 months ago.",
+      "turn3Facilitator": "BACKGROUND: Restoring from 3 months ago means losing a quarter of financial data.\n\nThe attackers still have the stolen data and may release it regardless of payment.",
+      "inject13Title": "Inject 13: Hot Backups Don't Work",
+      "inject13Content": "Hot backups do not work. The backup server was also a VM on the same cluster and is encrypted.",
+      "inject14Title": "Inject 14: Worldwide Attack Series",
+      "inject14Content": "It emerges that this is part of a worldwide series of attacks. A patch was released yesterday, but you missed the window."
     }
   }
 }

src/locales/fr.json

@@ -132,6 +132,69 @@
       "inject12Content": "Un membre du personnel trouve un email vieux de plusieurs mois dans lequel un chercheur détaille la mauvaise configuration (clés d'accès exposées).",
       "inject18Title": "Inject 18 : Article Médiatique",
       "inject18Content": "Un média a publié un article décrivant l'incident et critiquant les pratiques de collecte de données et de confidentialité de l'organisation. L'article cite une source anonyme au sein de l'entreprise."
+    },
+    "deepfakeCfo": {
+      "title": "Scénario : Le Directeur Financier \"Deepfake\"",
+      "difficulty": "Facile",
+      "description": "Un employé des finances reçoit un appel vidéo du directeur financier demandant un virement urgent et secret. L'audio et la vidéo sont générés par IA (Deepfake). Basé sur l'affaire Arup (Hong Kong, fév 2024).",
+      "briefingTitle": "Briefing & Configuration",
+      "briefingPublic": "Bienvenue à l'Exercice de Table.\n\nScénario : Compromission d'Email Professionnel par IA (Deepfake)\n\nRègles :\n1. Discutez des actions en équipe.\n2. L'animateur définit la Difficulté (Routine 5+, Difficile 10+, Très Difficile 15+).\n3. Lancez D20 pour réussir.\n\nStatut : Opérations normales.",
+      "briefingFacilitator": "Préparez l'équipe pour un scénario d'ingénierie sociale par IA. Le directeur financier est à une conférence (information publique sur LinkedIn). Référence réelle : L'affaire Arup (Hong Kong, fév 2024) - Un employé financier a été piégé pour payer 25 millions de dollars après un appel vidéo avec un directeur financier et des collègues en deepfake.",
+      "turn1Title": "Tour 1 : Pré-Incident",
+      "turn1Public": "Un administrateur financier junior signale avoir reçu un appel Teams/Zoom du directeur financier. Le directeur affirmait être à une conférence avec un mauvais signal et demandait un paiement urgent à un nouveau fournisseur pour une \"acquisition furtive\".",
+      "turn1Facilitator": "CONTEXTE : Le vrai directeur financier est effectivement à une conférence (information publique sur LinkedIn), mais il n'a pas passé l'appel.\n\nL'attaquant utilise un logiciel d'échange de visage en temps réel et de clonage vocal.",
+      "turn2Title": "Tour 2 : Réponse",
+      "turn2Public": "L'administrateur financier est stressé. Il a reçu un email de suivi (en-tête usurpé) avec la facture en pièce jointe.\n\nUn autre employé des RH mentionne avoir vu le directeur financier \"en ligne\" à 3h du matin la nuit dernière demandant des données d'employés, ce qui semblait étrange.",
+      "turn2Facilitator": "CONTEXTE : L'email contient un lien vers un faux portail de connexion (récupérateur de credentials).\n\nL'attaquant tente de pivoter de la fraude financière au vol de données si le paiement n'est pas effectué.",
+      "turn3Title": "Tour 3 : Récupération",
+      "turn3Public": "Le vrai directeur financier répond à un SMS confirmant qu'il n'a jamais passé l'appel.\n\nL'administrateur financier demande s'il doit cliquer sur le lien dans l'email pour \"annuler\" la facture.",
+      "turn3Facilitator": "CONTEXTE : Si l'administrateur clique sur le lien, ses credentials sont volés immédiatement.\n\nL'appel vidéo était des boucles pré-enregistrées mélangées avec une synchronisation labiale par IA.",
+      "inject5Title": "Inject 5 : Appels de Partie Prenante (ESCROC)",
+      "inject5Content": "Un \"avocat\" appelle exigeant que le paiement soit accéléré ou \"l'affaire échouera\". (NOTE PRIVÉE : C'est l'ESCROC qui appelle)",
+      "inject9Title": "Inject 9 : Perte de Connectivité Internet",
+      "inject9Content": "La connectivité Internet est perdue pendant (D20) minutes. L'attaquant tente de perturber la communication en attendant le virement."
+    },
+    "poisonedPackage": {
+      "title": "Scénario : Le Package Empoisonné",
+      "difficulty": "Moyen",
+      "description": "Un développeur inclut accidentellement une bibliothèque open-source malveillante. Elle est restée dormante pendant des semaines mais émet maintenant vers un serveur C2. Basé sur la backdoor XZ Utils (CVE-2024-3094) et Polyfill.io (2024).",
+      "briefingTitle": "Briefing & Configuration",
+      "briefingPublic": "Bienvenue à l'Exercice de Table.\n\nScénario : Attaque de la Chaîne d'Approvisionnement Logicielle (Typosquatting NPM/PyPI)\n\nRègles :\n1. Discutez des actions en équipe.\n2. L'animateur définit la Difficulté (Routine 5+, Difficile 10+, Très Difficile 15+).\n3. Lancez D20 pour réussir.\n\nStatut : Opérations normales.",
+      "briefingFacilitator": "Préparez l'équipe pour un scénario d'attaque de la chaîne d'approvisionnement. Références réelles : Backdoor XZ Utils (CVE-2024-3094, mar 2024) - un mainteneur malveillant a inséré une backdoor ; Polyfill.io (juin 2024) - domaine acheté par un attaquant, malware injecté dans 100k+ sites web.",
+      "turn1Title": "Tour 1 : Pré-Incident",
+      "turn1Public": "Le Centre des Opérations de Sécurité (SOC) ou une alerte automatique du pare-feu signale un \"trafic sortant suspect\" d'un serveur de production vers une adresse IP inconnue en Europe de l'Est.",
+      "turn1Facilitator": "CONTEXTE : Un développeur a installé un package nommé react-dom-animations (faux) au lieu de la bibliothèque légitime il y a 2 semaines.\n\nLe malware était sur une minuterie (exécution différée) pour échapper aux tests en bac à sable.",
+      "turn2Title": "Tour 2 : Réponse",
+      "turn2Public": "Le trafic est confirmé être des balises C2 HTTPS.\n\nLe serveur en question héberge le portail web destiné aux clients.\n\nLes utilisateurs signalent que le site web se charge lentement ou déclenche leur propre antivirus.",
+      "turn2Facilitator": "CONTEXTE : Le package malveillant injecte un crypto-mineur (distraction) ET un script qui écume les entrées de carte de crédit (la vraie menace).\n\nLe script d'écrémage est obfusqué à l'intérieur d'un fichier CSS d'apparence standard.",
+      "turn3Title": "Tour 3 : Récupération",
+      "turn3Public": "Le serveur est isolé.\n\nLes DevOps veulent simplement \"redéployer\" le dernier build, ne réalisant pas que le package malveillant est codé en dur dans le fichier package.json du dépôt.",
+      "turn3Facilitator": "CONTEXTE : S'ils redéploient sans nettoyer le code, l'infection revient immédiatement.\n\nL'attaquant a déjà récolté plus de 500 numéros de carte de crédit.",
+      "inject20Title": "Inject 20 : Dépôt Externe Compromis",
+      "inject20Content": "Des actualités révèlent que le compte d'un mainteneur open-source populaire a été piraté. Un dépôt externe a été récemment compromis.",
+      "inject17Title": "Inject 17 : Alertes de Fraude Client",
+      "inject17Content": "Le service d'assistance client commence à recevoir plusieurs appels de clients s'interrogeant sur la sécurité de leurs informations. Des alertes de fraude apparaissent sur leurs cartes."
+    },
+    "hypervisorRansomware": {
+      "title": "Scénario : Rançongiciel Hyperviseur",
+      "difficulty": "Très Difficile",
+      "description": "Les attaquants exploitent une vulnérabilité dans la couche de virtualisation (ESXi/Hyper-V), chiffrant les disques virtuels de plusieurs serveurs à la fois. Ils ont également exfiltré des données. Basé sur les campagnes ESXiArgs et Akira ransomware (2024).",
+      "briefingTitle": "Briefing & Configuration",
+      "briefingPublic": "Bienvenue à l'Exercice de Table.\n\nScénario : Rançongiciel ciblant la Virtualisation & Double Extorsion\n\nRègles :\n1. Discutez des actions en équipe.\n2. L'animateur définit la Difficulté (Routine 5+, Difficile 10+, Très Difficile 15+).\n3. Lancez D20 pour réussir.\n\nStatut : Opérations normales.",
+      "briefingFacilitator": "Préparez l'équipe pour un scénario de rançongiciel hyperviseur. Référence réelle : Campagne ESXiArgs & Akira Ransomware (2024) - a ciblé des serveurs VMware ESXi non corrigés, exfiltré des données avant chiffrement (Double Extorsion).",
+      "turn1Title": "Tour 1 : Pré-Incident",
+      "turn1Public": "Les administrateurs IT signalent qu'ils ne peuvent pas se connecter à la console de gestion de Machine Virtuelle.\n\nSimultanément, les VM \"Serveur de Fichiers\" et \"Base de Données\" se déconnectent. Un fichier readme.txt est trouvé sur le datastore de gestion.",
+      "turn1Facilitator": "CONTEXTE : Les attaquants ont utilisé une vulnérabilité zero-day ou non corrigée dans l'hyperviseur (pas dans les VM Windows elles-mêmes).\n\nIls ont chiffré les fichiers .vmdk (disque virtuel) directement.",
+      "turn2Title": "Tour 2 : Réponse",
+      "turn2Public": "Une note de rançon est envoyée par email au PDG et au Directeur IT. Elle renvoie à un site Tor montrant des captures d'écran de votre base de données clients.\n\nIls exigent 2M$ en Bitcoin dans les 48 heures ou ils publieront les données.",
+      "turn2Facilitator": "CONTEXTE : Les attaquants sont dans le réseau depuis 14 jours (\"période de latence\").\n\nIls ont exfiltré les données avant de chiffrer. C'est une attaque de \"Double Extorsion\".",
+      "turn3Title": "Tour 3 : Récupération",
+      "turn3Public": "Des médias appellent pour poser des questions sur une \"fuite de données\" mentionnée sur un forum de cybercriminalité.\n\nVous avez localisé une sauvegarde \"froide\" hors ligne vieille de 3 mois.",
+      "turn3Facilitator": "CONTEXTE : Restaurer depuis 3 mois signifie perdre un quart des données financières.\n\nLes attaquants ont toujours les données volées et peuvent les publier indépendamment du paiement.",
+      "inject13Title": "Inject 13 : Sauvegardes à Chaud Inopérantes",
+      "inject13Content": "Les sauvegardes à chaud ne fonctionnent pas. Le serveur de sauvegarde était également une VM sur le même cluster et est chiffré.",
+      "inject14Title": "Inject 14 : Série d'Attaques Mondiales",
+      "inject14Content": "Il apparaît que cela fait partie d'une série mondiale d'attaques. Un correctif a été publié hier, mais vous avez manqué la fenêtre."
     }
   }
 }