Opa! e ai Fernando! bom dia!
Pô, vlw ai pela observação do base64, não sabia que também havia essa maneira!
Sobre o segundo questionamento, é porque eu não expliquei direito, mas o segundo comando não é digitado por mim, seria por um arquivo que teria o papel de dropper, poderia ser um comando injetado num .doc, .odt, .pdf, qualquer coisas que executasse o comando por mim. Esse dropper seria enviado sob ataque de engenharia social, então no segundo comando eu presumiria que o usuário já tenha caído nesse ataque e executado o dropper.